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INTRODUZIONE AD ACTIVE 
DIRECTORY 



Active Directory, come molti sapranno, è l'implementazione Microsoft 
di un servizio di directory. Nelle prossime pagine, in particolare, spie- 
gheremo proprio cosa s'intenda per directory e servizi di direc- 
tory, concentrando la nostra attenzione sugli aspetti essenziali 
ed utili ad affrontare l'argomento in maniera molto più sicura. 

Premessa 

Probabilmente il concetto di directory e di servizio di directory è 
un concetto poco conosciuto o, addirittura per alcuni, del tutto 
nuovo. Tuttavia, per poter comprendere a fondo cosa sia realmente 
Active Directory, è necessario avere chiari questi due concetti 
che risultano essere alla base di tutto il discorso che faremo in 
seguito. 



Se qualcuno ci ponesse la domanda "cos'è una directory", sicuramente, 



ovvia perché, con il passare degli anni, abbiamo acquisito ed assimilato 
questo termine molto bene, avendo passato ore ed ore davanti al 
nostro computer a copiare documenti, aprirli, spostarli, ecc. 
In realtà, in questo contesto e per tutto il discorso che faremo in se- 
guito, il termine directory, assume una forma nuova, diversa da quan- 
to appreso in passato e cercheremo di spiegarlo con un piccolo esem- 
pio. Immaginiamo di avere una rubrica telefonica. Come tutti sanno, 
essa non è altro che un insieme di informazioni, contenente i nomi- 
nativi delle persone e quelli delle aziende, con il loro numero te- 
lefonico e, a volte, altre informazioni. Bene: la directory è proprio 
questo. Per essere più rigorosi, potremmo dire che una directory è un 
catalogo d'informazioni (come quelle viste in precedenza, ad esem- 



1.1 IL CONCETTO DI DIRECTORY 




la prima cosa che ci verrebbe da rispondere, è qualcosa di simile a "un 
insieme di file e cartelle". Naturalmente questa risposta è alquanto 
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pio) elencate e raggruppate secondo un certo criterio, magari te- 
nendo conto della necessità di doverne migliorare l'accesso. Un al- 
tro esempio che consente di spiegare questo concetto potrebbe es- 
sere quello delle pagine gialle. 

A questo punto, se abbiamo compreso il concetto appena esposto, 
non dovrebbe essere difficile comprendere quello legato al termine 
servizio di directory. 

1.2 SERVIZIO DI DIRECTORY 

Un servizio di directory altro non è che un servizio in grado di 
consentire ad un utente (client) di accedere e/o memorizzare infor- 
mazioni all'interno di una directory, nel nostro caso computeriz- 
zata. Esistono vari tipi di servizi di directory e sono basati o defi- 
niscono un protocollo (o una famiglia di protocolli) in grado d'in- 
teragire con la directory stessa. 

Può sembrare ovvio, ma occorre precisare che i servizi di direc- 
tory non sono tutti uguali tra loro. La motivazione è abbastanza 
semplice. Possono esistere servizi di directory realizzati sempli- 
cemente per fornire informazioni, come ad esempio, nel caso del- 
la semplice rubrica telefonica, il numero telefonico di un utente o 
il suo codice fiscale. Oppure possono esistere servizi di directory 
più complessi che si occupano di centralizzare le informazioni su- 
gli utenti, sulle risorse, ecc. fornendo nel contempo stesso, una 
soluzione scalabile e flessibile, in grado di "assorbire" i compiti di 
altri servizi di directory e nascondendo all'utente (client) la com- 
plessità delle interfacce implementate. 
Probabilmente qualcuno si starà chiedendo quale sia la "forma" 
reale di un servizio di directory e se, volontariamente o no, abbia 
mai avuto necessità di usarne uno. La risposta alla seconda domanda 
è "sicuramente sì". Basti pensare al Domain Name System (DNS) 
o al servizio WINS. Se ci pensate, entrambi questi sistemi rispon- 
dono alla definizione più o meno indicativa data in precedenza ad 
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un servizio di directory. Entrambi, infatti, dispongono di un insie- 
me di informazioni, organizzate in maniera diversa, ma in grado 
di consentire, attraverso l'apposito servizio di directory, la me- 
morizzazione ed il recupero delle informazioni richieste dal client. 



1.3 SERVIZIO DI DIRECTORY VS DB 
RELAZIONALE 

Se abbiamo finalmente un'idea più chiara di cosa si nasconda die- 
tro i due concetti esposti nei paragrafi precedenti, probabilmente ci 
staremo chiedendo se ha senso o meno parlare di database rela- 
zionali in luogo dei tanto "decantati" directory e servizi di directory. 
A questo punto, è piuttosto importante capire che esiste una diffe- 
renza sostanziale tra un servizio di directory ed un database rela- 
zionale, anche se a prima vista, i due oggetti possono sembrare ana- 
loghi e spesso si tende a confonderli tra loro. 
Se pensiamo a come è fatto un DB relazionale e a quanto abbiamo 
"intuito" tramite gli esempi e le definizioni date in precedenza, la 
prima differenza che appare quasi ovvia, è il fatto che un servizio di 
directory, rispetto ad un DB relazionale, può essere inteso come una 
sorta di database specializzato. Con quest'ultimo termine si vuol 
semplicemente sottolineare che, differentemente da un DB relazio- 
nale, le informazioni che possono essere memorizzate nel primo ca- 
so possono essere diverse da quelle che invece sono "adatte" al 
secondo caso. In parole povere, potremmo anche dire che un servi- 
zio di directory è un oggetto che "assomiglia" ad un DB relaziona- 
le, ma costruito e pensato più per essere letto che per essere scritto. 
I servizi di directory, ovviamente, possono essere semplici oppure, 
se rapportati al numero ed al tipo di richieste che possono soddi- 
sfare, anche complessi. Un tipo di servizio di directory semplice è un 
servizio che ha compiti "banali" da svolgere. Ad esempio, quello del 
DNS, è uno di questi e ci serve per comprendere meglio la differen- 
za. Il DNS non fa altro che rispondere alle query dei vari client traducendo 
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nomi host in IP. Siamo d'accordo che probabilmente questo esempio 
è "semplificato", ma in realtà è proprio quello che succede. 
In un servizio di directory complesso, invece, il numero e, soprattut- 
to, il tipo di richieste d'informazioni da gestire, è più complicato. Il ser- 
vizio di directory deve essere in grado di rispondere su richieste che 
ritornano dati di vario tipo e, soprattutto, multiple. 
Schematizzando, una situazione che faccia vedere la differenza tra que- 
sti due tipi, è la seguente: 





M DBMMi Vtl BUtL 



Figura 1: Directory semplice e directory complessa 



1.4 WINDOWS 2000 ACTIVE 
DIRECTORY 

Come si sarà finalmente compreso dopo questa breve premessa, Ac- 
tive Directory costituisce il sevizio di directory di Windows 2000. 
Considerata l'importanza che un componente di questo tipo ha as- 
sunto all'interno di un sistema operativo evoluto come Windows 
2000 Server, la Microsoft ha praticamente "centralizzato" tutto at- 
torno a questo importante componente. Infatti, come qualcuno sa- 
prà già, malgrado si potesse parlare di servizi di directory anche in Win- 
dows NT, con Windows 2000 l'importanza di questo oggetto è no- 
tevolmente cambiata a vantaggio dell'intera infrastruttura di rete. 
I servizi offerti da Active Directory possono essere considerati come 
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il centro stella di una rete complessa di informazioni, il fulcro intor- 
no al quale ruotano tutte le informazioni della rete, la fonte unica dei 
dati. Spesso ci si rende conto che non è facile convincere i neofiti ri- 
guardo l'indiscussa importanza di questo componente del sistema ope- 
rativo, perché chi proviene dall'esperienza di reti NT, può trovarsi di- 
sorientato di fronte all'argomento e preferire rimanere all'oscuro su 
questa nuova tecnologia anziché affrontarla e non facendosi inti- 
morire.A chiunque avesse ancora "paura" di affrontare Active Di- 
rectory, è importante ricordare che altro non è un database specia- 
lizzato, un archivio di dati di vario genere. 

Conclusioni 

Abbiamo finalmente terminato questa infarinatura sui servizi di di- 
rectory. Abbiamo compreso che Active Directory è il servizio di di- 
rectory implementato in Windows 2000 ossia un servizio in grado 
di consentirci l'accesso e quant'altro ad un grande archivio di infor- 
mazioni. Nel prossimo capitolo affronteremo i concetti principali che 
ruotano attorno a questo servizio di directory, cercando di capire in 
maniera più approfondita come funziona e facendo luce su alcuni 
dei termini tecnici più specifici dell'argomento che ci saranno utili 
nei capitoli a seguire. 
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DOMINI DI WINDOWS 2000 E AD 

Active Directory, come visto in precedenza, costituisce il servizio 
di directory di Windows 2000. La sua complessità e, al tempo stes- 
so, l'alta flessibilità con la quale può adattarsi a realtà anche 
complesse, è legata a diversi fattori e componenti, la cui cono- 
scenza, è di fondamentale importanza per capire la struttura 
funzionale di questo importante servizio. In questo capitolo spie- 
gheremo concetti importanti come domini, alberi e foreste. 

Premessa 

Attorno a Windows 2000 ruotano tantissimi concetti importanti. Chi 
ha esperienza con l'amministrazione di reti Windows noterà una cer- 
ta familiarità con la terminologia che utilizzeremo in questo capito- 
lo, ma è necessario avere ben chiari almeno i concetti base per po- 
ter comprendere i capitoli successivi. Non è certo un'impresa sem- 
plice decidere da dove cominciare questo capitolo e sintetizzare 
quanto più possibile il discorso, ma certamente l'oggetto che me- 
glio si presta ad iniziare questa disquisizione è quello del dominio. 

2.1 DOMINI E WORKGROUP 

Il concetto di dominio è, senza alcun'ombra di dubbio, il termine che mag- 
giormente sentiamo nominare quando parliamo di reti Microsoft. Per po- 
ter comprendere bene cosa intendiamo con questo concetto, facciamo 
un brevissimo passo indietro e precisamente sino alla comparsa di Win- 
dows NT.Sino ad allora, l'installazione di una rete Windows era un'ope- 
razione piuttosto "banale". Tutte le macchine erano "alla pari", nel sen- 
so che non esistevano computer che svolgevano operazioni particolari, che 
offrivano servizi ad altre. Questo modello di rete era ed è definito Work- 
group e lo possiamo replicare se, ad esempio, installiamo una piccola re- 
te con sole macchine Windows XP.Un dominio, invece, è un concetto del 
tutto diverso. Possiamo definirlo come un'entità astratta, un insieme di mac- 
chine all'interno delle quali esistono computer specializzati a svolgere 
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determinati compiti e macchine che possono usufruire di questi servizi. Ov- 
viamente, neanche a dirlo, è stato studiato per superare i limiti architet- 
turali offerti dal modello Workgroup. 

Dal concetto di dominio arriviamo molto presto alla definizione dell'architettura 
che identifica posizione e ruoli di ogni macchina al suo interno. Vengono 
introdotti concetti nuovi e "vecchi" che permettono di definire l'archi- 
tettura di una rete basata su Windows 2000 ed Active Directory. Ma an- 
diamo per ordine e vediamo più in dettaglio i concetti essenziali. 

2.2 I DOMINI DI WINDOWS 2000 

Il dominio, lo abbiamo detto precedentemente, può essere conside- 
rato come l'oggetto principale, l'unità atomica sulla quale si basa 
tutta l'infrastruttura di Active Directory. E non poteva essere diversamente 
se pensiamo che tale concetto, affermatosi dopo con l'avvento di 
Windows NT doveva necessariamente eliminare i limiti infrastruttu- 
rali imposti da un workgroup. In Windows 2000, come in Windows 
NT, il concetto di dominio non ha subito grosse modifiche dal pun- 
to di vista concettuale. Rappresenta sempre un confine ammini- 
strativo, in cui però esso stesso rappresenta un namespace, corri- 
spondente, a sua volta, ad un dominio DNS. Il primo dominio che 
viene creato ha molta importanza e viene chiamato dominio princi- 
pale perché, da esso, ha origine la struttura gerarchica dalla quale ver- 
ranno derivati gli altri. Queste strutture sono meglio note come strut- 
ture di domini e altro non sono che gruppi di domini di Windows 
2000 che, assieme, formano uno spazio nome contiguo. Semplifi- 
cando, per spazio dei nomi, intendiamo un insieme all'interno del 
quale un nome può essere risolto. In Active Directory, per default, il 
dominio rappresenta lo spazio dei nomi per eccellenza ed il proces- 
so attraverso il quale un nome viene risolto, è definito come name 
resolution. Ogni dominio che si trova sotto un altro, viene anche 
chiamato dominio child. Di seguito un esempio grafico di come può 
presentarsi una struttura di domini: 
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▲ 



EÌI.I.IPflJ.IL 



▲ 



ca.ni.i. irw.ir 



Figura 1: Struttura a domini di LIPPO.IT 

La combinazione di una o più strutture di domini costituisce l'in- 
sieme di strutture. 

Queste strutture riprestano meglio a società complesse ed arti- 
colate ed hanno una struttura simile alla figura successiva. 
L'importanza di un complesso di strutture così articolato ga- 
rantisce una certa continuità a società che, pur non avendo/co- 
stituendo uno spazio nome contiguo, sono legate tra loro. 




nu.MYiwm.iT 



rn.\rvnm].iT 



s 



Figura 2: Un esempio d'insieme di strutture 
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Tutte queste architetture non sono "sufficienti" a definire quanto 
basta per pianificare una rete basata su Windows 2000. 
Infatti, oltre all'ormai noto concetto di dominio, la Microsoft ha in- 
trodotto altri due nuovi termini: alberi e foreste. 
Un Albero (Tree) è costituito da un insieme di domini che si accordano 
vicendevolmente la fiducia e che appartengono ad uno spazio di no- 
mi contiguo. 

Un esempio che ci può far capire la struttura di un albero è costitui- 
ta da una struttura composta da dominio e sottodomini del prece- 
dente. 

Rifacendoci alla notazione precedente, Lippo.it, D1.Lippo.it e A.DHip- 
po.it costituiscono un esempio di albero. Il concetto di Foresta, invece, 
è leggermente diverso. 

Una foresta è costituita da uno o più insiemi di alberi di domini che 
non condividono uno spazio dei nomi contiguo. 
Questo concetto è importante quando si accennerà alla definizione 
di Schema, poiché tutti i domini di una foresta condividono il me- 
desimo schema. Il dominio di Windows 2000, dunque rimane anco- 
ra uno dei limiti amministrativi/organizzativi principali, intendendo con 
questo che i diritti amministrativi sono "confinati", se non disposto 
appositamente, all'interno del dominio considerato. 
A questo proposito, però, Windows 2000 introduce un nuovo con- 
cetto che consente di migliorare la gestione di un intero dominio, 
consentendo ad un amministratore di delegare alcuni compiti ad al- 
tri, facendo sì che il loro "raggio d'azione" all'interno del dominio sia 
in qualche modo circoscritto ad un suo sottoinsieme. 
A questo proposito Windows 2000 introduce il concetto di Organi- 
zational Unit (OU). 

2.3 LE ORGANIZATIONAL UNIT 

Una delle novità di Windows 2000 sono proprio le unità organizza- 
tive. Infatti, esse consentono di delegare i controllo delle risorse ad 
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altri, mantenendo circoscritti i poteri di ciascun amministratore de- 
legato alla propria OU. 

Una OU può contenere altre OU i maniera tale da affinare questa 
pianificazione oppure un insieme di oggetti leaf (oggetti che non 
possono contenerne altri) come utenti, computer, ecc. 
La creazione di una Organizational Unit è possibile, come la maggior 
parte delle operazioni di questo tipo, utilizzando la MMC e carican- 
do l'apposito snap-in Active Directory Users and Computers. 
Per poter delegare ad altri i poteri su di una certa OU, viene utilizzato 
il Delegation Of Control wizard. 
Ecco alcune fasi in figura 3 e figura 4 
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Figura 3: Delegation of Control wizard 



In questa maniera, seguendo le indicazioni del wizard, possiamo li- 
berare l'amministratore da determinati carichi delegando, per l'ap- 
punto, alcuni compiti ad altri. 



2.4 LO SCHEMA 

Dopo aver visto domini, OU, parlato di utenti, gruppi, alberi e fore- 
ste, abbiamo sicuramente compreso che Active Directory, in fondo, 
non è altro che un semplice contenitore di oggetti. 
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Figura 4: Assegnazione delle delega all'utente 



Sebbene sia chiaro a tutti il concetto di oggetto, è bene asse- 
gnare a questo termine una definizione più rigorosa che ci con- 
sentirà di capire meglio un nuovo componente di AD. 
In questo contesto soprattutto, un oggetto può essere definito co- 
me un'entità, un elemento in possesso di determinati attributi. 
Un utente, un dominio, un gruppo di Windows 2000 sono tutti 
esempi di oggetti perché, intuitivamente, sappiamo che possiedono 
degli attributi bene definiti (ad esempio, per gli utenti, un attributo 
potrebbe essere il nome oppure la password di accesso). 
Tuttavia, per ora, la cosa importante che dovremmo chiederci è: 
chi tiene traccia di questi atrributi, di tutti gli attributi di tutti gli 
oggetti di Active Directory? 
La risposta è lo Schema di Active Directory. 
Lo Schema è definito all'interno di AD stesso e può essere visto 
come tutti gli altri contenitori che conosciamo, anche se è strut- 
turato in maniera tale da definire e descrivere tutte le classi di 
oggetti contenuti nella directory. Si noti anche che tali informazioni 
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sono memorizzate nello Schema come se fossero essi stessi degli 
oggetti. 

Per poter dare un'occhiata allo Schema di Active Directory, pos- 
siamo utilizzare lo snap-in Active Directory Schema disponibile 
solo dopo aver installato l'Administration Pack di Windows 2000 
e scaricabile dal sito della Microsoft. 

In Figura 5 e Figura 6 ecco alcune schermate che danno un'idea 
di quello che potremmo trovare. 



tur AD - [Console Root\Active Directory Schema \Classes] 
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Figura 5: Active Directory Schema Snap-in (1) 



Probabilmente è inutile sottolineare l'importanza di questo con- 
tenitore ed il fatto che occorre fare molta attenzione ad eventuali 
modifiche si desideri apportare ai suoi oggetti (operazione pos- 
sibile solo su di un Domain Controller particolare che ricopre il 
ruolo di Schema Master, discusso nel successivo capitolo). 
Prima di passare oltre, una piccola curiosità: qualcuno si sarà chie- 
sto quale sia il file o i file che rappresentano fisicamente il data- 
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Tìti AD - [Console Root'.Active Directory Schema'', Attributes] 


J Console Window Help 


| Action View Favorites J <p ■+ | LÌD UE | | [§ 


Tree | Favorites J 


Attributes 


f ~\ Console Root 

É-^jo Active Directory Domains and Trust: 
+ Active Directory Sites and Services 
B-^ Active Directory Users and Computf 
! É]-£fjÌ MYDOMAIN.IT 
□-■fi Active Directory Schema 
Él- Q Classes 
| Attributes 


Name | Syntax 


♦ accountExpires Large Ir 

♦ accountNameHistory Unicode 

♦ aCSAggregateTokenRat,,. Large Ir 

♦ aCSAllocableRSVPBand,., Large Ir 

♦ aCSCacheTimeout Integer 

♦ aCSDirection Integer 

♦ aCSDSBMDeadTime Integer 

♦ aCSDSBMPriority Integer 

♦ aCSDSBMRefresh Integer 

♦ aCSEnableACSService Boolean 

♦ aCSEnableRSVP Account, , , Boolean 

♦ aCSEnableRSVPMessag... Boolean 

♦ aCSEventLogLeveI Integer 

♦ aCSIdentityName Unicode 

♦ aCSMaxAggregatePeak,.. Large Ir 


'1 1 ►! 




1 1 



Figura 6: Active Directory Schema Snap-in (2) 



base dell'Active Directory. Bene, il file in questione, quello che 
definisce il DB vero e proprio, è solo uno, ha l'estensione DIT e 
generalmente è memorizzato in %system%NTDS/ con il nome di 
ntds.dit. 

A titolo puramente informativo, ecco un elenco dei file, in ag- 
giunta al precedente, che nel complesso rappresentano l'intera 
directory di Windows 2000 sono: 

• Edb. log: transaction log; 

• Edbxxxxx.log. transaction log ausiliari, utilizzati qualora con il 
precedente si riscontrassero problemi; 

• Edb.chk. checkpoint file per memorizzare lo stato di avanza- 
mento nel processo di spostamento dei dati dal transaction log 
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al DB di Active Directory; 

• Resi .log e Res2.log: reserve log file utili per preallocare spazio 
disco da utilizzare nel caso si esaurisse inavvertitamente, impe- 
dendo la scrittura del DB; 

• Temp.edb. in-progress transaction file. 

• Schema.ini: utilizzato durante l'operazione d'inizializzazione del 
DB di Active Directory solo la prima volta nella quale un server 
è promosso a Domain Controller. 
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GLOBAL CATALOG, FSMO, ... 

Quando pianifichiamo una rete Windows 2000, dobbiamo pen- 
sare ad essa in funzione della nuova struttura a domini che in- 
tendiamo realizzare e considerando che essa è relativamente di- 
versa, in termini architetturali soprattutto rispetto al modello a 
domini di Windows NT. Tuttavia occorre anche tener presente che 
esistono operazioni che meglio si prestano al tipo di concezione 
Windows NT-like e che per questo necessitano di qualche accor- 
gimento in più. 



3.1 LE PARTIZIONI DI ACTIVE 
DIRECTORY 

Active Directory rappresenta un servizio di directory piuttosto 
complesso e, affinché possa rispondere ai requisiti di flessibilità e 
scalabilità richiesti, si appoggia su di un database che è suddivi- 
so in partizioni. 

Ogni Domain Controller contiene sempre due partizioni di base ed 
uguali per tutti i Domain Controller della Foresta: 

• Configuration Partition: conosciuta anche con il nome di 
Configuration Container contiene informazioni importanti 
che descrivono la topologia dei siti, delle repliche, ecc. 

• Schema Partition: questa partizione rappresenta lo schema 
del DB, dove sono dichiarate le tutte le classi di oggetti ed 
i loro attributi. Lo schema, com'è facile intuire, ci da le infor- 
mazioni utili a capire come sono fatti gli oggetti contenuti 
nel DB e, quindi, tra l'altro, quali attributi hanno;o). 

Ogni DC possiede anche una terza partizione (o replica) che 
contiene il Domain Naming del dominio al quale appartiene. 
Alle tre partizioni appena viste ci si riferisce anche con il termi- 
ne Naming Context (contesto di denominazione). 
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Figura 1: Configuration Container 



Console Window Help 



Action View |j ^ -» | X |f g] Qj | |g 



□■■■(fj Configuration Container [server. MVDOMAIN. IT] 
É-Cl CN=ConfigLiration J DC=MYDOMAIN,DC=IT 
□ CJ CN=Display5pecifiers 
É-Q CN=Extended-Rights 
Él-Cj CN=LostAndFoundConfig 

LI CN=Partitions 
; -CJ CN=Physical Locations 
Él-C] CN=Services 
É Q CN=5ites 

É"CH CN=Inter-5ite Transports 
É Q CN=MyFirst5ite 
È Q CN=MySecondSite 
É D CN=5ite5enza5ubnet 
É--C3 CM=Subnets 

+ | CN=WellKnown Security Principale 

É-3 Schema [server, MYDOMAIN, IT] 

■ai:: 

□ 9 Cw.*r. !*:[**-* MVOjMAItJ IT] 
ffl-O DC=MVDOMAIM,DC=IT 

iJ 



CN-SchemajCN-ConfigurationjDC-MYDOMAINjDC» 



CN=5chema,CN= 



HjCN= 
1CN= 
1CN= 
1CN= 
1CN= 
3CN= 
1CN= 
3CN= 
1]CN= 
1CN= 
1CN= 
1CN= 
1CN= 
2™= 
1] CN= 
1]CN= 
1CN= 



Figura 2: Schema 
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3.2 IL GLOBAL CATALOG 

Per migliorare le ricerche all'interno di Active Directory, si è pensato 
di delegare a particolari Domain Controller, il compito di conserva- 
re una copia delle informazioni di AD "limitata". Questi server pren- 
dono il nome di Global Catalog. 

In questo contesto, un catalogo è un indice separato di oggetti con- 
tenuti all'interno di una foresta Active Directory che, per default, me- 
morizza solo una parte dei loro attributi. Può non essere evidente, ma 
un Global Catalog non ha soltanto informazioni relative al proprio do- 
minio, ma possiede anche una replica parziale (quindi, solo alcuni 
attributi) delle Domain Partitions degli altri domini della foresta. 
In questo modo, un GC permette agli utenti di individuare rapidamente, 
senza obbligarli a chiedere queste informazioni ai Domain Control- 
ler. L'importanza di un ruolo di questo tipo risiede anche nel fatto 
che ogni rete deve avere almeno un Global Catalog possa avvenire 
l'autenticazione sui domini Active Directory (per default, il "primo 
controller del primo dominio nel primo albero" diventa un GC. 



s 




Global CalaSog 



Global Calarog 



DB del GC DB GC 

Figura 3: Il database del Global Catalog 
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3.3 REPLICAZIONE SINGLE MASTER 
VS MULTIPLE MASTER 

Active Directory supporta una tipologia di replicazione delle informazioni 
contenute nel suo database denominata Multi-Master. 
Con questo termine si vuol semplicemente affermare che nessun 
Domain Controller è "primario" (ossia, usando un termine forse im- 
proprio, "proprietario dei dati"), ma, al contrario, una qualunque 
informazione può essere modificata su qualunque DC per poi esse- 
re propagata a tutti gli altri secondo un preciso schema logico di 
connessioni. 

Fermo restando la validità un meccanismo di replicazione siffatto, 
può non apparire altrettanto evidente che esso possa condurre a 
conflitti sull'integrità dei dati, qualora una modifica fosse seguita 
"accidentalmente" e contemporaneamente su più DC allo stesso 
istante. Ovviamente Windows 2000 ha previsto casi del genere e 
gestisce tali situazioni mediante l'adozione di un algoritmo che re- 
plica solo la modifica effettuata sul DC con data più recente, scartando 
di conseguenza tutte le altre. 

Questo approccio, sebbene possa essere ritenuto accettabile in 
molti casi, potrebbe non essere adeguato in altre situazioni. Per 
prevenire conflitti in aggiornamento sugli oggetti vitali all'infra- 
struttura, Active Directory adotta un modello Single-Master per la 
modifica di alcune informazioni. 

In questa modalità, un solo DC nell'intera directory può essere uti- 
lizzato per gli aggiornamenti. 

Su questo principio si basa, ad esempio, il Primary Domain Con- 
troller di un Dominio Windows NT 4.0, in quanto è l'unico respon- 
sabile della modifica dei dati nel proprio dominio. Windows 2000 
estende il modello Single-Master, mediante il quale si gestivano gli 
aggiornamenti in NT, ad altri ruoli e consente di trasferirli su qual- 
siasi DC dell'infrastruttura. 

Siccome i ruoli non sono legati ad un particolare DC, essi sono in- 
dicati col termine Flexible Single Master Operation (FSMO) role. 
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3.4 I RUOLI FSMO DI WINDOWS 
2000 

Attualmente Windows 2000 prevede cinque ruoli FSMO dei quali 2 
riferiti specificamente alle foreste e 3 ai domini: 

Ruoli perle foreste 

• Master dei nomi di dominio 

• Schema Master 

Ruoli per I domini 

• Emulatore PDC 

• Master Infrastructure 

• RID Master 

Per quanto detto in precedenza, risulta abbastanza ovvio che, per 
ognuno di essi, può esistere soltanto un server che lo ricopra. 
Esistono diversi metodi per stabilire quali siano le macchine che ri- 
coprono ciascuno di questi ruoli ed uno di questi consiste nell'utilizzo 
dell'utility netdom fornita con il CD di Windows 2000 e localizzata 
nella cartella \Support\Tools. 

Un esempio classico di utilizzo di questo tool è il seguente: 
netdom query fsmo 



che restituisce qualcosa del tipo: 



Schema owner 


DCServer.MyDomain.it 


Domain role owner 


DCServer.MyDomain.it 


PDC role 


DCServer.MyDomain.it 


RID pool manager 


DCServer.MyDomain.it 


Infrastructure owner 


DCServer.MyDomain.it 



Descriviamoli brevemente: 
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• Master dei nomi di dominio: Il Domain Naming Master 
è il DC responsabile delle modifiche al Domain Namespace 
della Directory. Questo DC è l'unico in grado di aggiungere 
o rimuovere un dominio da Active Directory oltre ad ag- 
giungere o rimuovere cross-reference a domini di altre Directory. 

• Schema Master: Lo Schema Master rappresenta l'unico 
DC in grado di apportare modifiche allo Schema di AD. Una 
volta che lo Schema è stato modificato, esso viene replica- 
to dallo Schema Master agli altri DC nella Directory. 

• Emulatore PDC: In un dominio Windows 2000 il PDC Emu- 
lator ha le seguenti funzioni: 

• I cambiamenti di password eseguiti da un DC sono replica- 
ti in prima istanza sul PDC Emulator. 

• Gestione degli account in stato locked. 

• Le mancate autenticazioni ad un dato DC a causa di pas- 
sword errata, sono riverificate sul PDC Emulator prima che 
venga ritornato un messaggio di login del tipo "accesso non 
consentito" all'utente. 

• Funzionalità di Primary Domain Controller (PDC) per client 
pre-Windows 2000. 

• Funzionalità di time service (necessario al protocollo Ker- 
beros) nel dominio di pertinenza. 

In particolare, l'emulatore PDC, in ambienti mixed-mode, agisce da 
"supporto" ai BDC, mentre in ambienti native-mode si preoccupa 
di riprocessare le richieste di autenticazione fallite in precedenza su- 
gli altri DC. 

Il ruolo appena descritto è probabilmente quello maggiormente coin- 
volto nelle attività di una rete aziendale soprattutto in ambienti mi- 
sti, dove sono presenti anche server NT. 
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Pertanto questo ruolo è quello da tenere maggiormente sotto con- 
trollo. 



• RID Master: Il RID Master è il DC responsabile della ge- 
stione delle richieste al RID Pool operate da tutti i DC ap- 
partenenti ad dominio. E' inoltre responsabile delle opera- 
zioni di "spostamento" di oggetti tra domini differenti. 
Quando un DC crea un security principal object (tipicamen- 
te, un nuovo utente o un nuovo gruppo) ad esso viene associato 
un Security ID (SID) univoco nel dominio. Tale SID costituito 
da due parti: 



un Domain SID (lo stesso per tutti i SID creati nel dominio); 
un Relative ID (RID) (univoco per ogni security principal SID 
creato nel dominio). 



Ogni DC di un dominio ha a disposizione un pool di RID (costi- 
tuito da 512 elementi) per consentirgli la creazione di un certo 
quantitativo di security principal object. 
Quando il numero di RID disponibili ad un DC scende sotto una 
certa soglia, il DC è costretto a generare una richiesta di RID 
addizionali al RID Master del dominio. 
Quest'ultimo risponde a tale richiesta recuperando RID dal pool 
dei RID di dominio non ancora assegnati e li associa al pool dei 
RID del DC che ne ha fatto la richiesta. 
Tuttavia, è interessante ricordare che il DC non utilizzerà il nuo- 
vo insieme di SID ottenuti dal RID Master sino a quando non 
avrà esaurito quelli che aveva in precedenza a disposizione. 

• Master Infrastrutture: Il Master Infrastructure assicura 
la consistenza degli oggetti tra il dominio ed i domini re- 
moti. Volendo semplificare, potremmo anche dire che è l'u- 
nico server che tiene traccia di oggetti contenuti all'interno 
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di un'altra directory, ma che risultano essere referenziati an- 
che in quella corrente. 

Sappiamo tutti che se un oggetto viene referenziato da un dominio 
diverso da quello di appartenenza, questa referenza contiene: 



• il Globally Unique IDentifier (GUID) 

• il Security IDentifier (SID) 

• il Distinguished Name (DN) dell'oggetto. 



L'ultimo termine, in particolare, ci sarà più chiaro più avanti. 
Se l'oggetto referenziato viene spostato, il Master Infrastructu- 
re si preoccupa di aggiornare i SID e i DN nelle referenze cross- 
domain a quell'oggetto. 

Per semplicità: se aggiungiamo un utente appartenente ad un do- 



AD - [Console Root\ Active Directory Users and Computers [server.MYDOMAlr 



J Console Window Help 



□ 



Action View Favorites 



mpl x m OLII 



Tree | Favorites | 



Users 20 objects 



| Console Root 

Active Directory Domains and Trust: 
S "HÌhf Active Directory Sites and Services 
Él-^p Active Directory Users and Compute 



Name 



Delegate Control,., 
Find... 

Connect to Domain. .. 
Connect to Domain Controller 



£^ Administrator 
(JScert Publishers 
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ePr... 



à-Cj C. 
É-fiD D. 
É-Ga Ft 
B3 -G3 Lc_ 

El-Qs; 
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User 

Security Group - 
Security Group ■ 
Security Group ■ 
Security Group ■ 
Security Group ■ 
Security Group ■ 
Security Group ■ 
Security Group ■ 
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Domain Lo 
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Global 
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Global 



domain operation: Help 



Figura 4: Spostamento degli FSMO Roles da MMC 
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minio all'interno di un gruppo di sicurezza facente parte di un do- 
minio remoto, il Master Infrastructure si preoccupa di supervisionare 
l'operazione accertandosi che avvenga nella maniera corretta. 
Un ruolo siffatto deve essere attivato necessariamente su un 
DC che non sia il Global Catalog (GC). 
La motivazione, sebbene apparentemente "strana", è sempli- 
ce: se questo ruolo fosse ospitato da un server GC, esso non ag- 
giornerebbe le informazioni sulle relazioni cross-domain a cau- 
sa del fatto che esso non contiene alcuna referenza ad oggetti 
che non possiede. Questo perché, lo ricordiamo, un GC possie- 
de solamente una replica parziale degli oggetti della foresta. Tut- 
tavia, nel caso in cui tutti i DC siano allo stesso tempo GC o ci 
si trovi in presenza di un unico dominio, tale considerazione è su- 
perflua. Di seguito un'immagine relativa ad operazioni sugli 
FSMO roles, utilizzando la MMC. 



Per poter effettuare operazioni con Active Directory, ma soprattutto 



possiamo avvalerci di moltissimi strumenti. Ovviamente, neanche a 
sottolinearlo esplicitamente, la conoscenza dell'esistenza di questi tool, 
è molto importante perché ci aiuta a comprendere meglio gli og- 
getti che risiedono all'interno di Active Directory ed a compiere con 
maggiore sicurezza i nostri test. Malgrado la lista non sia certamente 
esaustiva, ecco quello che serve per iniziare a fare un pò di pratica: 

• Administrative Tools ed in particolare: 

• Active Directory Domain and Trusts: consente di intervenire 
su domini e relazioni di fiducia; 

• Active Directory Sites and Services: consente d'intervenire 
sulla replicazione dei dati; 



3.5 ACTIVE DIRECTORY TOOLS 




per essere certi che le informazioni che recuperiamo tramite i nostri 
script o che impostiamo manualmente, siano andate a buon fine, 
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• Active Directory Users and Computers: permette di mani- 
polare gli oggetti di AD ; 

• Active Directory Schema Manager (snap-in disponibile do- 
po l'installazione dell'AdminPak di Microsoft); 

• ADSIEdit: questo tool, utilizzabile sottoforma di snap-in me- 
diante la MMC consente di "sfogliare" le partizioni di Acti- 
ve Directory consentendoci di visualizzare oggetti e attri- 
buti in maniera semplice, utilizzando le Active Directory Ser- 
vice Interfaces (ADSI), oggetto di capitoli successivi. Que- 
st'utility è installata come SupportTool. Occorre pertanto 
servirsi del file Setup.exe contenuto all'interno del CD d'in- 
stallazione in corrispondenza della cartella SupportVTools. 

Tra i tool a linea di comando, disponibili per la maggior parte all'in- 
terno del Resource Kit di Windows 2000, ricordiamo innanzitutto 
Ntdsutil (probabilmente il più importante tool da linea di comando 
per AD) oltre a: 

• AdFind: Active Directory query tool. 

• AdMod: Active Directory Modification tool. 

• ATSN: IP to Subnet/Site Information tool. 

• FindExpAcc: Ricerca account scaduti e con password sca- 
duta. 

• GCChk: consente di effettuare verifiche sui Global Catalog. 

• MemberOf: mostra i gruppi di appartenenza di un utente. 

• SecData: visualizza le security info di utenti e computer. 

• Unlock: AD Domain unlock Tool. 

Sottolineiamo, ancora una volta, che la lista proposta non è affatto 
esaustiva e serve esclusivamente per suggerire e mostrare alcu- 
ne delle utility disponibili. 

Prima di passare al capitolo successivo, mostriamo graficamente 
i passi che occorre eseguire per passare dalla modalità mista a 
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quella nativa. Quest'ultima modalità non permette di far coesiste- 
re domini Windows NT e domini Windows 2000 ed, inoltre, è irreversibile. 
Tuttavia, introduce (consente) di utilizzare appieno le potenzialità di 
questo sistema operativo, dando, per esempio, la possibilità di crea- 
re i nuovi gruppi universali. 



Domain mode- 



|\j To change the domain to native mode, click Change Mode. 
This operation cannot be reversed. For more information about 
domain modes, see Help. 




Change Mode | ^) 



OK 



Cancel 



Apply 



Figura 5: Passaggio alla modalità Native 



ftctìve Directory 




Figura 6: Messaggio di warning sull'irreversibilità dell'operazione 



Aon sono più visibili 
le opzioni per il posso 99 io 
all'altra modalità! 



OK 



Cancel 



Apply 



Figura 7: Verifica del passaggio alla modalità Native 
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LDAP: COMUNICARE CON AD 

Come qualunque tipo di database, anche quello su cui si appoggia 
Windows 2000 Active Directory necessita di un protocollo, un lin- 
guaggio che consenta al generico client d'interrogarlo o modificar- 
ne il contenuto. Questo protocollo, utilizzato proprio per i servizi di 
directory e conforme allo standard X.500, esiste ed il suo acronimo 
è LDAP. Come vedremo, LDAP consente di rappresentare ed indivi- 
duare qualunque oggetto all'interno di una directory compatibile 
con esso e la comprensione delle conoscenze di base ci consentirà 
di capire gli script che mostreremo nei capitoli successivi. 

Premessa 

Il protocollo LDAP (Lightweight Directory Access Protocol) è uno 
standard aperto per l'erogazione di servizi di directory tramite una re- 
te Intranet o Internet. Come detto all'inizio, è basato sullo standard 
X.500 e sul protocollo TCP/IP e rappresenta un'evoluzione del pro- 
tocollo DAP. 



4.1 LA GESTIONE DELLE 
INFORMAZIONI 

Innanzitutto, la prima cosa da dire circa la gestione delle informazioni 
attraverso LDAP è che esso organizza questo insieme di dati sot- 
toforma di una struttura gerarchica, che logicamente ricorda molto 
quella utilizzata per rappresentare la struttura di un DNS. L'albero 
gerarchico che rappresenta queste informazioni è denominato DIT os- 
sia Directory Information Tree. 

Questa struttura gerarchica è basata sul concetto di entry. Que- 
st'oggetto è costituito da un insieme di coppie (attributo, valore) e 
può possedere una sola entry-genitore. Non esistono limiti, invece, 
al numero di figli di ciascuna entry. Inoltre potremmo anche definir- 
la come una raccolta di attributi che fanno riferimento ad un Distin- 
guished Name (DN). 
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Il Distinguished Name è uno dei termini che incontremo spesso du- 
rante questo cammino e quindi, come tutti quelli che avremo occa- 
sione di mostrare, va compreso bene. Accanto ad essi, esistono altri 
termini importanti e cercheremo di chiarire le idee partendo da un esem- 
pio. Immaginiamo di avere di fronte la struttura parziale di un albe- 
ro DIT relativo ad un dominio Windows 2000 (vedi Figura 33). 
Facendo riferimento alla figura successiva, possiamo comprendere me- 
glio le definizioni seguenti: 

• Distinguished Name (DN): è tale una stringa (nome) che identi- 
fica il percorso da una entry (foglia) dell'albero DIT verso la ra- 
dice. Un esempio è "LDAP://CN=Francesco Dr. 
Lippo,CN=Users,DC=MyDomain,DC=it" che individua un uten- 
te (Francesco Dr. Lippo) del dominio MyDomain.it; 

• Relative Distinguished Name (RDN): qualunque nome di entry, 
sprovvisto di path o che possegga un path parziale è da consi- 
derarsi un RDN ad es. è CN=Francesco Dr. Lippo. 



alberi:) DIT 




('lenir 



MYDOMAJN 



[iSf'biS 



Figura 1: Generico albero DIT 
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Ora possiamo anche aggiungere che un Distinguished Name può 
essere considerato come una sequenza ordinata di Relative Distin- 
guished Name, letti dalla generica foglia dell'albero DIT sino alla ra- 
dice.Soprattutto chi non ha dimestichezza con LDAP, si starà chiedendo 
che significato abbiano le varie CN e DC contenute all'interno del- 
la generica stringa DN. Vediamo di capirne il significato con un pic- 
colo esempio. 



4.2 I COMMON NAME 

Immaginiamo di visualizzare nella nostra mente il generico albero DIT 
come un qualsiasi filesystem, laddove possiamo trovare decine di 
oggetti (file) a partire dalla root e contenitori (directory) che posso- 
no contenere non solo altri file, ma addirittura altre cartelle. Se riflettiamo 
un attimo alla nostra partizione C, ad esempio, ci appare quasi ov- 
vio che: 

il 

• uno stesso file, con lo stesso nome, all'interno di una stessa car- 
tella, non può esistere; 

• possiamo avere più file con lo stesso nome presenti su C: pur- 
ché siano contenuti in cartelle diverse; 

• una cartella può contenere altre cartelle, purché, allo stesso li- 
vello, non esistano directory con lo stesso nome; 

• il percorso di un generico file più il nome del file stesso, identi- 
fica quel documento in maniera univoca; 

Se pensiamo ad un generico albero DIT come ad una struttura si- 
mile a quella di un filesystem, le affermazioni appena citate, devo- 
no essere mantenute valide ossia: 

• ogni oggetto deve avere il nome diverso da quelli presenti nel suo 
stesso contenitore; 

• possono esistere oggetti con lo stesso nome, purché presenti in 
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contenitori diversi; 

• un oggetto-contenitore ne può contenere altri purché abbiano 
tutti nomi diversi; 

• ogni oggetto deve poter essere identificato in maniera univoca. 

L'ultimo punto, come visto all'inizio, è soddisfatto dal Distinguished 
Name che ci assicura che un oggetto identificato dallo stesso DN 
non può esistere. Per gli altri punti, invece, consideriamo il caso di un 
generico file presente sul nostro computer. 
Comprediamo facilmente che se scriviamo C:\Windows\MioDocu- 
mento.doc identifichiamo in maniera univoca il file MioDocumen- 
to.doc contenuto nella cartella Windows. 
Ci appare quasi ovvia la distinzione, all'interno della stringa di cui so- 
pra, tra la cartella (Windows) ed il file (MioDocumento.doc). 
Tuttavia in LDAP abbiamo bisogno di qualche accorgimento in più, 
soprattutto a causa dei diversi tipi di oggetti e di contenitori con cui 
avremo a che fare. 

Riprendiamo in considerazione l'RDN: 
CN=Francesco 

Questo RDN specifica che l'attributo cn del nostro oggetto è "Fran- 
cesco". 

Questo attributo è meglio conosciuto come Common Name e defi- 
nisce proprio l'attributo che da il nome a quell'oggetto. 
Se, quindi, scriviamo CN=Francesco, non abbiamo fatto altro che 
chiamare per nome un oggetto contenuto all'interno di un qualun- 
que contenitore. Abbiamo detto però che potremmo avere anche 
due oggetti con lo stesso nome, purché siano su "livelli" diversi del- 
l'albero DIT. Ad esempio, se parliamo di utenti, potremmo avere due 
utenti Pippo il cui Common Name sia: 



CN=Pippo 
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ma il cui Distinguished Name, necessariamente diverso, potrebbe 
essere: 

CN=Pippo,OU=OU1 ,DC=MyDomain.it 
CN=Pippo,OU=OU2,DC=MyDomain.it 

A questo punto però abbiamo compreso che per identificare 
l'utente Pippo, dobbiamo scrivere CN=Pippo e qualcuno po- 
trebbe chiedersi il perché di questa complicazione visto che po- 
tevamo "semplicemente" indicarlo nell'RDN come Pippo sen- 
za il prefisso CN=. 

La spiegazione è molto semplice e per comprenderla ci rifaremo 
di nuovo al parallelo con i file. I file MioDocumento.xls e Mio- 
Documento.doc possono coesistere all'interno di una stessa car- 
tella, perché il loro nome è "differenziato" dall'estensione. 
Per gli oggetti di un albero LDAP, il discorso è analogo. 
Per queste ragioni, sono corretti i seguenti RDN all'interno di 
uno stesso contenitore: 



CN=Guest 



OU=Guest 

In definitiva possiamo vedere il Common Name un pò come le esten- 
sioni dei file che, oltre a distinguere un file da un altro, consentono 
di definirne il nome.ln LDAP, ogni classe di oggetti definisce quale sarà 
l'attributo che definirà il nome per tutte le istanze di quella classe. 
Nel caso di Active Directory abbiamo, in aggiunta a CN: 

• OU: Organizational Unit; 

• DC: Domain component. 

Active Directory, in aggiunta a CN, OU e DC, riconosce e supporta an- 
che 0 (Organization), ma non la utilizza. 
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4.3 ACTIVE DIRECTORY SERVICE 
INTERFACES 

Siamo finalmente arrivati all'argomento principe di questo libro os- 
sia Active Directory Service Interfaces (ADSI), un insieme d'interfac- 
ce COM disponibili con Windows 2000 ed in grado di consentire ad 
un qualunque applicativo (linguaggio di programmazione) che sup- 
porti questa tecnologia, d'interfacciarsi ad Active Directory (e non 
solo) interrogarne il DB o manipolarne i dati. 

4.4 ADSI 

Active Directory Service Interface rappresenta un set d'interfacce 
COM nata dall'esigenza d'interfacciarsi ad una directory, nascon- 
dendo la complessità all'utente stesso. 
Come vedremo, l'architettura di ADSI si basa su di un modello par- 
ticolare denominato Provider-Model ossia un modello attraverso il qua- 
le, il generico client deve solo preoccuparsi dell'interfacciamento 
verso gli oggetti COM esposti da ADSI e lasciando il resto del lavo- 
ro ai provider specializzati. Per poter comprendere l'architettura sul- 
la quale si basa ADSI e, in particolare per comprendere in che maniera 
può tornarci utile per recuperare informazioni da Active Directory, 
partiremo dal risultato che vogliamo ottenere. 
Immaginiamo di voler leggere le informazioni contenute all'interno 
di un determinato database. 

Sicuramente, per raggiungere il nostro scopo, dovremmo compiere 
alcune fasi, sintetizzate e semplificate appositamente in: 

• Collegamento al DB; 

• Avvio della query (nel caso di ricerche) specificando la "tabella" 
di riferimento ed i campi oggetto della ricerca; 

• Lettura dei risultati. 

Nel caso di manipolazione dei dati, i passi non sono poi così diversi 
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da quanto appena indicato. I punti importanti sono, in particolare: 
la conoscenza del path e del nome del DB (utile per potersi colle- 
gare ad esso), il nome della tabella, l'elenco dei campi e qualche al- 
tra informazione come, ad esempio, le relazioni tra le tabelle. 
Active Directory, come già spiegato, è un servizio di directory 
ossia un oggetto che opera su di un DB specializzato. 
Questo significa che qualora desiderassimo leggere o scrivere infor- 
mazioni all'interno del suo database, non dovremmo compiere 
operazioni poi molto diverse da quanto visto in precedenza per 
un generico archivio informatico. Innanzitutto, quindi, occorre tro- 
vare un Domain Controller e agganciare l'oggetto desiderato 
presente all'interno della directory. 

Quest'operazione è meglio nota con il termine di binding ed è 
la prima operazione che deve essere compiuta quando si vuol la- 
vorare con gli oggetti di una directory. ADSI, come preannun- 
ciato diverse volte, rappresenta semplicemente una suite di og- 
getti COM che consentono ad un generico client di lavorare, nel 
nostro caso specifico, con Active Directory facendo sì che: 

• Il client si rivolga a queste interfacce per le sue richieste; 

• il provider specifico si preoccupi dell'interfacciamento con la 
directory, traducendo le richieste del client e nascondendo, quin- 
di, tutto il livello sottostante al client stesso. 



Graficamente, la situazione che meglio rappresenta quest'architet- 
tura, è mostrata di seguito in (figura 2). Le ultime considerazioni fat- 
te, possono sembrare poco importanti, ma se abbiamo prestato at- 
tenzione a quanto sinora detto, si evince facilmente che tutto ciò è 
di enorme comodità perché ci libera dal dover conoscere i determi- 
nati "dettagli" di una certa directory. 

A questo punto, manca certamente un pezzo per poter concludere, 
almeno in parte, questo discorso ossia il provider che si occupa di com- 
pletare quest'architettura. 
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ADSI permette di lavorare con diversi tipi di servizi di directory e, 
quindi, può servirsi di diversi tipi di provider utili allo scopo. 



aPpuc aziom: « i.il:m ! 



I Cll.k DB 

ADSI I AD» lAIISI iniziateli UIMI-nnkU 




Figura 2: Architettura su cui si basa ADSI 

Le ultime considerazioni fatte, possono sembrare poco importanti, ma 
se abbiamo prestato attenzione a quanto sinora detto, si evince fa- 
cilmente che tutto ciò è di enorme comodità perché ci libera dal do- 
ver conoscere i determinati "dettagli" di una certa directory. 
A questo punto, manca certamente un pezzo per poter concludere, 
almeno in parte, questo discorso ossia il provider che si occupa di 
completare quest'architettura. ADSI permette di lavorare con diver- 
si tipi di servizi di directory e, quindi, può servirsi di diversi tipi di pro- 
vider utili allo scopo. In particolare, abbiamo: 



GC: utilizza una porta di comunicazione diversa dall' LDAP pro- 
vider, ma è molto simile in termini di funzionamento ed utiliz- 
zo. Un'ulteriore differenza sta nel fatto che accede al Global Ca- 
talog di Active Directory; 

US: consente l'accesso all'lnternet Information Services (US) me- 
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tabase; 



• LDAP: come accennato, consente di lavorare con qualunque 
tipo di directory compatibile con LDAP (tra cui Active Directory); 

• NDS: consente l'accesso ai servizi di directory Novell; 

• NWCOMPAT: consente l'accesso ai servizi di directory Novell 
3.x; 

• WinNT: permette di accedere ad informazioni contenute nel 
SAM di Windows NT. 

In conclusione, il binding ad un oggetto di Active Directory avviene 
sfruttando l'LDAP Provider. Il Lightweight Directory Access Protocol, 
come accennato nel capitolo precedente, è un protocollo standard che 
viene utilizzato proprio per l'accesso a servizi di directory. Esso è 
conforme allo standard X.500, ma risulta molto più semplice e "leg- 
gero" da implementare. Vediamo dunque come utilizzarlo per inter- 
rogare Active Directory. 



COM appropriato attraverso il quale, sfruttando metodi e proprietà, 
potremo agire sugli oggetti di Active Directory. 
Ogni oggetto ADSI può implementare diversi tipi d'interfacce, alcu- 
ne della quali prestabilite ed altre specifiche del tipo di oggetto che 
stiamo considerante. Per quanto riguarda le interfacce della prima ca- 
tegoria, sottolineiamo che ogni oggetto ADSI implementa almeno 
le seguenti interfacce: 

• lADs 

• lADsContainer 

• lADsDeleteOps 

• lADsObjectOptions 
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• lADsOpenDSObject 

• lADsPropertyList 

• IDirectoryObject 

• IDirectorySearch 

Inutile ribadire che il numero ed il tipo d'interfacce esposte da ogni 
oggetto ADSI-COM dipende dal tipo di oggetto che si sta rappre- 
sentando e dal provider utilizzato. Più avanti in questo capitolo, mo- 
streremo un elenco maggiormente dettagliato sulle interfacce di- 
sponibili, cercando di capire quali siano quelle maggiormente im- 
portanti per poter iniziare a lavorare con Active Directory. Ritornia- 
mo dunque al nostro problema, quello del binding e consideriamo 
i metodi messi a disposizione da COM che ci permettono di porta- 
re a termine un'operazione di binding. Non menzioneremo quelli 
relativi a linguaggi diversi da Visual Basic e VBScript, rimandando 
per maggiori dettagli in proposito alla documentazione Microsoft: 

• GetObject. le credenziali utilizzate sono quelle dell'utente cor- 
rente (metodo principalmente usato nel libro per motivi di sem- 
plicità); 

• lADsOpenDSObject. è possible specificare credenziali alter- 
native. 

A questo punto abbiamo lo strumento per "agganciare" un particolare 
oggetto di Active Directory, abbiamo individuato (anche se parzial- 
mente) il provider che ci interessa, ma manca ancora qualcosa. In- 
fatti, non abbiamo ancora visto in che maniera indicare al provider 
qual è l'oggetto su cui poter lavorare. Active Directory possiede mi- 
gliaia di oggetti ed occorrerebbe un percorso preciso ed univoco da 
indicare alla GetObject() o funzioni analoghe, per individuare una 
stringa che ci consenta di raggiungere quello che vogliamo senza 
possibilità di equivoci. Questa stringa, ovviamente, esiste e prende 
il nome di ADSPath. 
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4.6 LA STRINGA ADSPATH 

Facendo riferimento al provider LDAP necessario per la maggior par- 
te delle operazioni che vedremo, ecco la generica forma della strin- 
ga ADSPath: 



LDAP://Nome Host/ObjectName 



dove: 



Nome Host: è il nome del server al quale si sta facendo riferi- 
mento. Il suo inserimento è opzionale; 
ObjectName: oggetto specifico al quale ci stiamo riferendo. Per 
indicarlo possiamo sfruttare diverse notazioni ossia il suo Di- 
stinguished Name, il suo Canonical Name oppure, addirittura, 
il suo GUID. 



Quindi, un ADSPath string è composta da almeno 4 componenti os- 
sia il nome del provider (il cosiddetto proglD), i caratteri "://", il no- 
me dell'host e l'oggetto al quale ci stiamo riferendo (espresso se- 
condo la sintassi prevista dal provider namespace. Tanto per farci 
un'idea ancor più precisa, vediamo alcuni esempi, riferiti, in parti- 
colare, al provider LDAP: 



LDAP://CN=Guest,CN=Users,DC=EdMaster,DC=it 
LDAP://CN=Francesco Lippo,CN=Users,DC=EdMaster,DC=it 
LDAP://OU=OU2,OU=OU1,DC=Lippo,DC=it 

Andando avanti con questo argomento avremo modo di vedere di- 
verse altre stringhe relative ad ADSPath ed impareremo conoscere me- 
glio l'argomento. Tuttavia, prima di passare oltre, è bene sottolinea- 
re ancora un'altra cosa. 

Quando specifichiamo la stringa ADSPath in un'operazione di binding 
ad oggetti di Active Directory, a meno di non avere necessità parti- 
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colari, è buona norma non specificare mai il server di riferimento per 
non essere "vincolati", tra le altre cose, nell'operazione. 
Infatti, a tal proposito occorre sottolineare che Active Directory sup- 
porta il server-less binding che, come si sarà intuito, garantisce il 
binding ad un oggetto di AD senza necessariamente specificare il 
server al quale agganciarsi. 

4.7 SERVER-LESS BINDING 

Qualcuno se ne sarà certamente accorto: all'interno degli esempi di 
ADSPath string precedenti manca il riferimento al server. 
Malgrado la sintassi utilizzata per costruire la stringa di riferimento 
all'oggetto di AD lo prevedesse, laddove possibile, è preferibile/pos- 
sibile non indicarlo all'interno dei propri programmi o script per di- 
verse ragioni. 

La prima fra tutte è quella di non "vincolare" il codice realizzato a 
quel particolare server (per maggiore flessibilità); il secondo perché 
è necessario tener conto dell'eventualità che il server indicato sia 
irraggiungibile. 

Infatti, utilizzando questa modalità, il binding avviene a livello di 
namespace e non di domain controller. 
Questo significa che il locator service si preoccupa di rintracciare un 
domain controller per effettuare l'operazione di binding, prescin- 
dendo dall'uno o dall'altro Domain Controller. 

4.8 L'OGGETTO ROOTDSE 

Abbiamo ancora alcune considerazioni da fare sul binding, prima di 
passare a nuovi argomenti. In particolare, va premesso che, qualo- 
ra si lavori con uno o poco più di un dominio, il server-less binding 
funziona molto bene, ma le cose, almeno dal punto di vista del pro- 
grammatore, si complicano se vogliamo realizzare script in grado di 
essere riutilizzati in ambienti più complessi. 
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Con questa premessa non si vuol dire che quanto finora sottolinea- 
to non va bene, anzi, occorre soltanto aggiungere un nuovo ele- 
mento alla nostra "ipotetica" stringa ADSPath che può tornarci uti- 
le: RootDSE.L'oggetto RootDSE (l'acronimo DSE, in fondo al nome del- 
l'oggetto, sta per DSA-Specific Entry) ha lo scopo di fornire infor- 
mazioni sul directory server e consente di eliminare il riferimento ad 
un particolare dominio, permettendoci di realizzare script e pro- 
grammi flessibili ed in grado di funzionare su ambienti con più di 
un dominio. 

In LDAP 3.0, RootDSE identifica, se vogliamo, la mot dell'albero ge- 
rarchico che rappresenta le informazioni delle directory e fornisce 
informazioni utili sulla sua struttura. 

Di seguito alcuni semplici esempi che mostrano il riferimento al- 
l'oggetto RootDSE nelle stringhe ADSPath sfruttando le notazioni si- 
nora viste: 

LDAP://MyDomainController/RootDSE 
LDAP://RootDSE 

Ovviamente, come ogni oggetto, può essere "agganciato" con istru- 
zioni analoghe a:\ 

Set objRootDSE = GetObject("LDAP://RootDSE") 

L'oggetto RootDSE possiede ovviamente delle proprietà, attraverso 
le quali possiamo individuare le informazioni che ci occorrono sul 
dominio dal quale stiamo lanciando l'applicativo ed, in generale, sul 
directory sever. Vediamole brevemente. 



s 



4.9 PROPRIETÀ DELL'OGGETTO 
ROOTDSE 

Di seguito sono elencate alcune delle proprietà di quest'oggetto: 
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Proprietà 


Descrizione 


defauItNamingContext 


Distinguished Name del dominio al quale 
il server "corrente"appartiene 


dnsHostName 


DNS address per il directory server. 


namingContexts 
Schema, 


Array di valori contenenti i Distinguished 

Name di tutti i naming context 

memorizzati nel directory server. Nel caso 

diWindows 2000, per default, un domain 
controller ne contiene almeno 3: 
Configuration ed uno relativo al dominio 
al quale il server appartiene. 


rootDomainNamingContext 


Distinguished name per il primo dominio 
della foresta che contiene il dominio al 
quale il directory server appartiene 


schemaNamingContext 


Distinguished Name per lo schema 
container. 


serverName 


Distinguished Name del server. 


Tabella 1: Alcune proprietà dell'oggetto RootDSE 



Queste sono soltanto alcune delle proprietà esposte da questo im- 
portante oggetto, ma negli script che seguiranno, avremo modo di ve- 
derne altre e comunque, l'Appendice A elenca tutti gli attributi di 
questo oggetto. Tanto per avere un'idea di quello che possiamo ot- 
tenere, vediamo qualche riga di codice ed il risultato che otteniamo, 
ipotizzando di lanciare lo script da una macchina di nome Server, al- 
l'interno del dominio MyDomain.it. Per il momento non ci soffer- 
meremo sui metodi richiamati, ma semplicemente sulle proprietà di 
questo oggetto e sui relativi valori. 

Option Explicit 
Dim objDSE 

Set objDSE = GetObject("LDAP://rootDSE") 
Wscript.Echo objDSE. Get("defaultNamingContext") 
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WscriptEcho objDSE.GetfdnsHostName") 
Wscript.Echo objDSE.Get("serverName") 



che produce qualcosa del tipo: 
3EE 



C i \>e* e*" ipt "C;\Dùcuftent3 anrf SeLt ing*:NftdPiiniiti*éitcii'\De^)<;tQpNLÌ!:ta Pi-u lit-ìe 
un utcnto.ubs" 

Minii-ci^ofl. <R> (Hrn)pì±3 KcriyL Hc-a Uej-sJuli S.l fin- Uimlat':; 

Cui pur i tfEtt CO M-i-c i-ù-jof t Co ppa rat ion i996-19?9. Ali rights l'eaeiued. 

DC-ìlVDOHfl IN^BCJT 

CW^miEH, CN-Servet-s.CN-MyPit-stS ite, CN-8 itea .CN-C0ftfi3ur«t loft .W-HVDOW IN. 



Figura 3: Risultato dello script sulle proprietà di rootDSE 



s 



Se alle righe precedenti aggiungiamo, quindi, l'istruzione: 

strADsPathToDomain = "LDAP://" & objDSE.Get("defaultNamingContext") 
Set objDomain = GetObject(strADsPathToDomain). 

non avremo fatto altro che il binding al dominio di appartenenza 
(quello dal quale l'utente ha fatto logon), mentre con: 

strADsPathToRootDomain = "LDAP://" & 

objDSE.GetC'rootDomainNamingContext") 

Set objRootDomain = GetObject(strADsPathToRootDomain) 



non avremo fatto altro che il binding al root domain di una foresta, 
indipendentemente dal server dal quale l'utente ha effettuato l'ac- 
cesso. Queste poche righe, dunque, ci dimostrano come si possa fa- 
cilmente accedere alle proprietà ed agli oggetti di qualsiasi domi- 
nio prescindendo dal nome stesso, ma ricavandoselo grazie all'og- 
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getto rootDSE. ADSI, possiede diverse interfacce COM, classificate 
in base all'importanza ed agli scopi per cui sono state progettate. 
Tra le più importanti va menzionata sicuramente la categoria definita 
Core, alla quale appartiene l'interfaccia lADs e dalla quale derivano 
proprietà e metodi base di ogni oggetto ADSI. 
Ecco un elenco ordinato delle interfacce ADSI disponibili: 



Interfaccia 


Categoria 


lADs 


Core 


lADsAccessControlEntry 


Security 


lADsAccessControlList 


Security 


lADsAcl 


Data Type 


lADsADSystemlnfo 


Utility 


lADsAggregatee 


Obsoleta 


lADsAggregator 


Obsoleta 


lADsBackLink 


Data Type 


lADsCaselgnoreList 


Data Type 


lADsClass 


Schema 


lADsCollection 


Persistent object 


lADsComputer 


Persistent object 


lADsComputerOperations 


Dynamic object 


lADsContainer 


Core 


lADsDeleteOps 


Utility 


lADsDNWithBinary 


Data Type 


lADsDNWithString 


Data Type 


lADsDomain 


Persistent object 


lADsEmail 


Data Type 


lADsExtension 


Extension 


lADsFaxNumber 


Data Type 


lADsFileService 


Persistent object 


lADsFileServiceOperations 


Dynamic object 


lADsFileShare 


Persistent object 


lADsGroup 


Persistent object 


lADsHold 


Data Type 
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Interfaccia 


Categoria 


lADsLargelnteger 


Data Type 


lADsLocality 


Persistent object 


lADsMembers 


Persistent object 


lADsNamespaces 


Core 


lADsNameTranslate 


Utility 


lADsNetAddress 


Data Type 


lADsObjectOptions 


Utility 


lADsOctetList 


Data Type 


lADsOpenDSObject 


Core 


IADsOU 


Persistent object 


lADsPath 


Data Type 


lADsPathName 


Utility 


lADsPostalAddress 


Data Type 


lADsPrintJob 


Persistent object 


lADsPrintJobOperations 


Dynamic object 


lADsPrintQueue 


Persistent object 


lADsPrintQueueOperations 


Dynamic object 


lADsProperty 


Schema 


lADsPropertyEntry 


Property Cache 


lADsPropertyList 


Property Cache 


lADsPropertyValue 


Property Cache 


IADsPropertyValue2 


Property Cache 


lADsReplicaPointer 


Data Type 


lADsResource 


Dynamic object 


lADsSecurityDescriptor 


Security 


lADsService 


Persistent object 


lADsServiceOperations 


Dynamic object 


lADsSession 


Dynamic object 


lADsSyntax 


Schema 


lADsTimestamp 


Data Type 


lADsTsUserEx 


Terminal Services user data 


lADsTypedName 


Data Type 


lADsUser 


Persistent object 
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Interfaccia 


Categoria 


lADsWinNTSystemlnfo 


Utility 


IDirectoryObject 


Core/Non-Automation 


IDirectorySchemaMgmt 


Obsoleta 


IDirectorySearch 


Core/Non-Automation 


IPrivateDispatch 


Obsoleta 


IPrivateUnknown 


Obsoleta 



Tabella 2: Interfacce ADSI 



4.10 IL BINDING AL GLOBAL 
CATALOG 

Come abbiamo detto nel Capitolo 3, il Global Catalog possiede 
tutti gli oggetti della foresta, conservando però un insieme li- 
mitato degli attributi. 

Tuttavia, essendo sempre un Domain Controller (il primo DC in- 
stallato diventa automaticamente un Global Catalog), possiede 
anch'esso le tre partizioni di default previste da Active Direc- 
tory e, quindi, per "distinguere" le richieste effettuate verso il suo 
catalogo globale, destina un'apposita porta TCP/IP (la 3268 per 
inciso) per questo genere di query. 

Per poter interrogare un GC, le regole finora viste sono le stes- 
se, ma cambia leggermente la stringa AdsPath che identifica il 
provider, passando da LDAP a GC. Quindi, stringhe come: 

GC: 

GC://RootDSE 
GC://MyGC/RootDSE 

sono valide, anche se per diverse ragioni è preferibile servirsi del ser- 
ver-less binding. 
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4.11 IL BINDING TRAMITE GUID 

Esiste un altro modo per indirizzare le nostre ricerche verso un par- 
ticolare oggetto ed è quello di utilizzare il suo GUID. Ogni oggetto 
di Active Directory ha un GUID univoco, un valore a 128 bit genera- 
ta dal sistema che rimane invariato e legato all'oggetto anche se 
questo viene rinominato o spostato. Questo valore è memorizzato nel- 
l'attributo objectGUID dell'oggetto e lo possiamo visualizzare, ad 
esempio, aprendo ADSIEdit e visualizzando le proprietà dell'ogget- 
to desiderato. Per utilizzare questo tipo di binding, dobbiamo modificare 
la forma della nostra stringa AdsPath in questo modo: 

LDAP://<GUID=GUID dell'oggetto 



Facciamo un esempio. Supponiamo di voler vedere alcune proprietà 
dell'utente riportato in figura 4, dalla figura si evince quindi che il GUID 
dell'utente è 0x4f0x 18 0x32 Oxcd 0xd4 0x9 1 0x8 1 0x48 OxaO 0x6e 
0x9e 0x83 0x22 0xd8 0x52 0x9e. 
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Figura 4: L'attributo objectGUID 
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Riportando il tutto sottoforma di codice e tralasciando per il mo- 
mento le istruzioni non ancora menzionate, vediamo in che modo il 
binding "classico" differisce da quello mediante GUID: 

LISTATO I (Binding classico e mediante GUID) 

Option Explicit 
Dim objDSE 
Dim objUsr 
' Metodo 1 

Set objDSE = GetObject 
("LDAP://CN=Francesco Dr. Lippo,CN=Users, 
DC=MyDomain,DC=it") 
objDSE.Getlnfo 

Wscript.Echo "BINDING CLASSICO" 
Wscript.Echo "Nome: " & objDSE. Name 
Wscript.Echo "Descrizione: " 

& objDSE.Description & vbCrlf 
' Metodo 2 

Set objUsr = 

GetObject("LDAP://<GUID=4f1832cdd4918148a06e9e8322d8529e>") 
objUsr.Getlnfo 

Wscript.Echo "BINDING con GUID" 
Wscript.Echo "Nome: " & objUsr.Name 
Wscript.Echo "Descrizione: " 
& objUsr.Description 
Set objDSE = Nothing 
Set objUsr = Nothing 



che a video produce un output del tipo: 
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C:S>cscript "SS. JiostSShared Folders Sscript SSCRIPT A POSTO 
à di un utente tramite GUID.ubs" 

Microsoft <R) Windows Script Host Uersion 5.1 for Windows 
Copyright <C> Microsoft Corporation 1996-1999. Ali rights 

DINDI NG CLASSICO 

Nome: CN=Francesco Dr. Lippo 

Descrizione : Dott . Francesco Lippo 

DINDI NG con GUID 

Nome: <GUID=4f 1832cdd4918148a06e9e8322d8529e> 
Descrizione: Dott. Francesco Lippo 



1 1 

Figura 5: Binding ad un oggetto tramite GUID 

Si noti la differenza di output dei due metodi e soprattutto il fatto che 
l'attributo Name dell'oggetto è diverso nei due casi. 



4.12 WELL KNOWN OBJECT 
BINDING 

Riguardo all'operazione di binding, ci sarebbe ancora molto da di- 
re e da sottolineare. Una di queste riguarda i cosiddetti Well Known 
Object. Facciamo un piccolo passo indietro e ripensiamo al binding 
effettuato attraverso il GUID di un oggetto. 
Sappiamo che un GUID è creato dal sistema nel momento in cui un 
oggetto viene creato e rimane invariato per tutta la vita di quel- 
l'oggetto. Il GUID binding, come appena visto, presuppone la co- 
noscenza di questa sequenza di bit affinchè possa essere utilizzato. 
Tuttavia, esistono all'interno di Active Directory, alcuni oggetti ai 
quali viene assegnato un GUID predefinito attraverso il quale pos- 
siamo compiere moltissime operazioni. Questi oggetti sono proprio 
i Well Known Object, argomento di questo paragrafo. 
/ Well Known Object sono sempre e soltanto contenuti all'interno di 
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ogni Domain e Configuration Container. In particolare, ecco la lista 
di questi oggetti: 

Domain Container. 

• Users 

• Computers 

• System . 

• Domain Controllers 

• Infrastructure 

• Deleted Objects 

• Lost and Found 

Configuration: 

• Deleted Objects 

Per effettuare il binding a ciascuno di essi, è necessario utilizzare la 
sintassi 

LDAP://servername/<WKGUID=XXXXXXXXXXXXXXXX,ContainerDN> 



specificando il GUID dell'oggetto che si desidera ed il container di ri- 
ferimento. Ecco la lista delle costanti che che sfrutteremo e che iden- 
tificano ciascun oggetto: 



Container 


Costante GUID 


Valore 


Users 


GUID_USERS_CONTAINER 


a9d1ca1 576881 Idladed 
00c04fd8d5cd 


Computers 


GUID_COMPUTRS_CONTAINER 


aa31 282576881 1d1aded 
00c04fd8d5cd 


System 


GUID_SYSTEMS_CONTAINER 


ab1d30f3768811d1aded 
00c04fd8d5cd 
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Container 


Costante GUID 


Valore 


Domain Controller 


GUID_DOMAIN_ 
CONTROLLERS_CONTAINER 


A361b2ffffd211d1aa4b00 
c04fd7d83a 


Infrastructure 


GUID_INFRASTRUCTURE_ 

rOMTAIMFR 


2fbac1870ade11d297c400 

(-n^fHRH^rH 

LUtlUOUJLU 


Deleted Objects 


GUTD_DELETED_OBJECTS_ 
CONTAINER 


18e2ea80684f11d2b9aa00 
c04f79f805 


Lost and Found 


GUID_LOSTANDFOUND_ 
CONTAINER 


ab8153b7768811d1aded00 
c04fd8d5cd 



Tabella 3: 1 Well Known Objects 



Prima di mostrare un esempio sull'utilizzo di questi oggetti, è im- 
portante sottolineare che: 



LISTATO 2 (Binding con i Well Known GUID) 



• il valore GUID a fianco di ciascun container non rispecchia il va- 
lore dell'attributo objectGUID visto in precedenza; 

• l'utilizzo di questa notazione (la WKGUID) è supportata esclu- 
sivamente da Active Directory. 



Ecco un esempio di script che utilizza parzialmente i Well Known 
Object sul dominio MyDomain.it: 



Option Explicit 

Const GUID_USERS_CONTAINER = 

"a9d1 cai 576881 1 di aded00c04fd8d5cd " 

Const GUID_COMPUTRS_CONTAINER = 

"aa31 282576881 1 di aded00c04fd8d5cd " 

Const GUID_SYSTEMS_CONTAINER = 

" ab1 d30f376881 1 di aded00c04fd8d5cd " 

Const GUID_DOMAIN_CONTROLLERS_CONTAINER = 

" a361 b2ffffd2 1 1 di aa4b00c04fd7d83a " 

Const GUIDJNFRASTRUCTURE_CONTAINER = 
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" 2fbac1 870ade1 1 d297c400c04fd8d5cd " 
Const GUID_DELETED_OBJECTS_CONTAINER = 
" 1 8e2ea80684f1 1 d2b9aa00c04f79f805 " 
Const GUID_LOSTANDFOUND„CONTAINER = 
" ab81 53b776881 1 di aded00c04fd8d5cd " 
Dim objContainer 
Dim objChild 

Binding a GUID_USERS_CONTAINER e 
GUID_COMPUTRS_CONTAINER 
Set objContainer = 

GetObject("LDAP://<WKGUID=" & GUID_USERS_CON 
TAINER & ",DC=MyDomain,DC=it>") 
Wscript.Echo "GUID_USERS_CONTAINER" 
& vbCrlf & 



For Each objChild In objContainer 
WScript.Echo objChild. Name 
Next 

Wscript.Echo " " 

Set objContainer = 

GetObject("LDAP://<WKGUID=" & GUID_COMPU 
TRS_CONTAINER & ",DC=MyDomain,DC=it>") 
Wscript.Echo 

"GUID_COMPUTRS_CONTAINER" & vbCrlf & 



For Each objChild In objContainer 
Per ogni oggetto trovato, 
stampa il nome 
WScript.Echo objChild. Name 
Next 

Set objContainer = Nothing 
Set objChild = Nothing 
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ED C:\WINNT\System32\cmd.exe 
11-47 flDSI Bind to a IJKGUID.ubs" 

Microsoft <R> Windows Script Host Uersion 5.1 for Ifind 
Copyright <C> Microsoft Corporation 1996-1999. Oli rig 

GU I D_USERS_CONTA I NER 

CN=Administrator 

CN=Cert Publishers 

CN=Dnsfldmins 

CN=DnsUpdateProxj) 

CN=Donain Hdmins 

CN=Donain Conputers 

CN=Donain Controllers 

CN=Donain Guests 

CN=Donain Users 

CN=Enterprise Admins 

CN=Francesco Dr. Lippo 

CN=Group Policy Creator Ouners 

CN=GrpLocalTest 

CN=GrpIestl 

CN=GrpIest2 

CN=GruppoDiTest 

CN=Guest 

CN=IUSR_SERUER 

CN=IUAM_SERUER 

CN=krbtgt 

CN=MVDCiMAIN2$ 

CN-RAS and IHS Seruers 

CN=Schema Admins 

CN=Iest 

CN=TsI nternetUser 

GU I D_COMPUTRS_CONTA I NER 

CN=C0MPUIER1 
CN=C0MPUIER2 
CN=C0MPUIER3 
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Figura 6: Output dello script che utilizza i WKGUID 
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MANIPOLARE GLI OGGETTI DI AD 

Active Directory è composta da centinaia di oggetti. 
Naturalmente, l'operazione più importante per chi programma, 
è quella d'interrogare o impostare le proprietà degli oggetti di 
quest'enorme "database" per ottenere informazioni di qualun- 
que genere. 

In questo capitolo cercheremo di affrontare questo problema 
mostrando i passi necessari per recuperare correttamente ciò 
che ci serve e lo faremo partendo dall'interfaccia ADSI forse più 
importante: la lADs. 

Premessa 

Abbiamo visto nel capitolo precedente come effettuare il bin- 
ding ad un oggetto qualunque di Active Directory, ma abbiamo 
tralasciato volutamente di considerare la parte di codice che 
leggeva e/o impostava eventuali attributi. 
Adesso è arrivato il momento di vedere come leggerli e soprat- 
tutto come modificarli. 

Partiremo dall'interfaccia COM che può essere ritenuta quella prin- 
cipale, dalla quale in qualche modo, vengono poi specializzate 
le altre: la lADs. Vedremo che una volta appresi i concetti base, 
la programmazione risulterà immediata 



5.1 L'INTERFACCIA IADS 

Ogni oggetto COM che fa parte della "suite" messa a disposi- 
zione da ADSI, in quanto tale, deve necessariamente supporta- 
re l'interfaccia lUnknown. 

Oltre a questa, ognuno di essi supporta l'interfaccia lADs che, co- 
me avremo modo di vedere, ci tornerà molto utile per recuperare 
e impostare i valori degli attributi desiderati 
Ecco innanzitutto l'elenco delle proprietà e dei metodi che caratte- 
rizzano questa interfaccia: 
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Proprietà 


Data Type 


Descrizione 


ADsPath 


String 


ADsPath dell'oggetto 


Class 


String 


Il nome della classe a cui 
appartiene l'oggetto 


GUID 


String 


Il GUID dell'oggetto 


Name 


String 


L'RDN dell'oggetto 


Parent 


String 


ADsPath dell'oggetto 
genitore 


Schema 


String 


ADsPath della classe 
(relativa all'oggetto) 
definite all'interno dello 
schema 


Tabella 1: Proprietà dell'interfaccia lADs 


Metodo 


Descrizione 


Getlnfo 


Recupera tutti gli attributi dell'oggetto copiandoli nella 
locai property cache 


Setlnfo 


Salva i cambiamenti dell'oggetto all'interno della directory 


Get 


Recupera il valore di un attributo specifico 


Put 


Imposta il valore di un attributo specifico 


GetEx 


Recupera il valore o i valori di un attributo specifico, 
ritornando un array 


PutEx 


Consente di modificare, cancellare, ecc. i valori di uno o 
più attributi specificati 


GetlnfoEx 


Recupera il valore di un'attributo specifico aggiornando la 
locai property cache 


Tabella 2: 1 Well Known Objects 



Dalle due tabelle si evince chiaramente che se vogliamo leggere il va- 
lore di un qualunque attributo di un oggetto, dovremo usare i metodi 
Get e "simili", mentre per modificarli, dovremo avvalerci dei meto- 
di Put. 

Prima di vedere in dettaglio i metodi principali di quest'interfaccia, 
vediamo un piccolo esempio che ci mostra come recuperare i valori 



62 



I libri di ioPROGRAMMO/Lavorare con ACTIVE DIRECTORY 



Capitolo 5 



Manipolare gli oggetti di AD 



LAVORARE CON 

ACTIVE 



delle proprietà dell'oggetto COM relativi all'interfaccia lADs: 

LISTATO 2 (Proprietà di un oggetto (lADs Interface) ) 

Option Explicit 
Dim objIAD 
Dim strLDAP 

strLDAP = "LDAP://CN=Administrator,CN=Users,DC=MyDomain,DC=IT" 



Set objIAD = GetObject(strLDAP) 



Wscript.Echo 



3 



WscriptEcho "- ADMINISTRATOR (Proprietà lADs) " 

Wscript.Echo " " 

WScript.Echo "AdsPath:" & objlAD.AdsPath 
WScript.Echo "Class :" & objlAD.CIass 
WScript.Echo "GUID :<" & objlAD.GUID & ">" 
WScript.Echo "Name :" & objlAD.Name 
WScript.Echo "Parent :" & objlAD.Parent 
WScript.Echo "Schema :" & objlAD.Schema 



che produce qualcosa del tipo: 



-ADMINISTRATOR (Proprietà lADs) 



AdsPath 

LDAP://CN=Administrator,CN=Users,DC=MyDomain,DC=IT 



Class 


user 


GUID 


<75b537243ada644cba795df051 7bb51 e> 


Name 


CN=Administrator 


Parent 


LDAP://CN=Users,DC=MyDomain,DC=IT 


Schema 


LDAP://schema/user 
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Come avremo certamente notato, una volta effettuato il binding al- 
l'oggetto desiderato, è stato sufficiente sfruttare la notazione og- 
getto. proprietà per ottenere il valore della proprietà desiderata. Ma 
esiste ancora qualche considerazione da fare. 

5.2 IL METODO GET 

Uno dei metodi utilizzati per leggere i valori degli attributi di un og- 
getto Active Directory è quello di utilizzare il metodo Get, specifi- 
cando il nome dell'attributo desiderato. Ad esempio, considerando che 
la classe User, che descrive ogni utente all'interno di Active Direc- 
tory, possiede la proprietà Description (che riflette il campo Descri- 
zione presente nel pannello Generale delle proprietà di ogni utente), 
proviamo ad inserire, alla fine dello script precedente, le seguenti ri- 
ghe: 

objUserDescr = objUser.Description 
Wscript.Echo "1) " & objUserDescr 
objUserDescr = objUser.Get("Description") 
Wscript.Echo "2) " & objUserDescr 

Se confrontiamo l'output di entrambe, noteremo facilmente che pro- 
ducono lo stesso risultato. Adesso, sostituiamole con: 

objUserDescr = objUser.Name 
Wscript.Echo "1) " & objUserDescr 
objUserDescr = objUser.Get("Name") 
Wscript.Echo "2) " & objUserDescr 

Con nostra meraviglia ci renderemo presto conto che non produco- 
no più lo stesso risultato, ma qualcosa del tipo: 



1) CN=Administrator 
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2) Administrator 

Facciamo un ulteriore test. Consideriamo, al posto della proprietà 
Name, la proprietà GUID e aggiungiamo in coda allo script prece- 
dente, analogamente a prima, le seguenti righe di codice: 

objUserGUID = objUser.GUID 
WscriptEcho "1) " & objUserGUID 
objUserGUID = objUser.Get("GUID") 
WscriptEcho "2) " & objUserGUID 



Se lanciamo lo script, le prime due istruzioni non daranno problemi, 
mentre la terza produrrà un errore. 

A questo punto è arrivato il momento di spiegare dove e perché si ri- 
scontrino questi problemi e lo faremo considerando soltanto que- 
st'ultime righe di codice. La prima istruzione non fallisce perché, co- 
sì com'è presentata, si riferisce alla proprietà GUID dell'oggetto 
COM/ADSI visto in Tabella 4. La terza istruzione, invece, tenta di re- 
cuperare il valore di un attributo di un utente, presente in Active Di- 
rectory, inesistente. Infatti, la proprietà GUID di un utente non è map- 
pata all'interno di AD con il nome GUID, bensì come objectGUID.Que- 
sto spiega anche il perché, malgrado i risultati fossero leggermente 
differenti (a meno del prefisso CN=), con la proprietà Name le cose 
andavano meglio. Ecco l'elenco delle corrispondenze: 



lADs Property 


LDAP Attribute 


AdsPath 


DistinguishedName 


Class 


ObjectClass 


GUID 


ObjectGUID 


Name 




Parent 




Schema 


ObjectCategory 



Tabella 3: Corrispondenza LDAP Attribute - ADSI Property 
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In definitiva, quindi, occorre fare attenzione alla differenza che esi- 
ste tra gli attributi LDAP (objectGUID ad esempio) e le proprietà di 
un oggetto ADSI (GUID nel caso specifico). Inoltre, abbiamo visto 
che non tutti gli attributi sono recuperabili attraverso la sintassi og- 
getto. proprietà (o comunque non sempre la corrispondenza dei no- 
mi è la stessa), mentre qualunque attributo può essere recuperato at- 
traverso il metodo Get. 

5.3 ATTRIBUTI MULTIVALORI: 
IL METODO GETEX 

Gli attributi menzionati in precedenza sono piuttosto semplici da 
considerare. Basta semplicemente conoscere il loro nome LDAP ed 
utilizzare il metodo Get dell'interfaccia lADs per leggerli. Ma esi- 
stono attributi che non memorizzano sempre un solo valore, ma 
possono contenerne più di uno. Immaginiamo, ad esempio, l'at- 
tributo che memorizza la lista dei membri di un determinato grup- 
po di Windows 2000. 

Questo attributo, denominato member, può contenere anche più di 
un valore ed il metodo Get visto in precedenza, è ovvio, non può più 
essere utilizzato. In casi come questo ci viene incontro il metodo Ge- 
tEx, molto simili al precedente, ma in grado di ritornare un array di 
Variant che possiamo scorrere facilmente. 
A questo proposito, prendiamo in considerazione lo script seguente: 

LISTA TO 3 (Lista dei membri del gruppo Grp Testi) 

Option Explicit 

Dim objGroup 
Dim arrMembers 
Dim Member 
Set objGroup = 
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GetObject 

("LDAP://cn=GrpTest1,cn=Users,dc=MyDomain,dc=it") 
objGroup.Getlnfo 

arrMembers = objGroup.GetEx("member") 
WScript.Echo "Members:" 

WscriptEcho "LISTA DEI MEMBRI DEL GRUPPO GRPTEST1 1 
Wscript.Echo 



For Each Member In arrMembers 

WScript.Echo Member 
Next 

Questo esempio mostra a video la lista di tutti i membri di un grup- 
po chiamato GrpTestl, contenuto all'interno del dominio MyDo- 
main.it. L'output a video sarà qualcosa del tipo: 



\JC:\WINNT\System32\cmd.eHe 



LISTA DEI MEMBRI DEL GRUPPO GRPTEST1 

CN=Francesco Dr. Lippo,CN=Users,DC=M¥DOMflIN,DC=IT 
CN =COMPUTER3 , CN=Co input ers,DC=M¥DOMAIN,DC=IT 
CN =COMPUTER2 , CN=Co input e rs , DC =M¥DOMA I N , DC = I T 
CN =COMPUTERl , CN=Co nput e rs , DC =M¥DOMfi I N , DC = I T 
CN=fldninistrator,CN=Users,DC=M¥DOMflIN,DC=IT 



Figura 1: Output dello script d'esempio 



Solo per inciso, è bene tener presente che per potersi accertare del 
risultato, ma soprattutto per poter fare un pò di pratica con que- 
sti oggetti, possiamo verificare quanto ci viene riportato dallo script 
utilizzando il tool ADSIEdit. 

Ecco, infatti, quanto ci viene ritornato da questo tool in corrispon- 
denza dell'attributo member dell'oggetto GrpTestl : 
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CPJ=&pT6Stl 



OU=OU£ 

C) CN-System 

_J CN=Users 

É _J CW-Admifiistròtcr 

E Ci CM=Cert Publisher 

É- Ci C^DnsAdrnire 

E Ci CftNDnsUpdateProxy 

l+: Ci CN^Dùfftain AtJmrns 

E Ci CNMDoman Computai 

E Ci CW=Dojìiajri Guests 
É 'Ci CN=Domatn Users 
[£i L_J £3*=Ent£ìprÌ5eAdmirtì 
■Ci CW=FrancescoDf. Lippo 
■ - - 1 CJj=Group Poky Creato 



CN=GrpTestl Properties 




E 

• _l 

iaQ 

* _i 

BÙ 

. _J 
e Ci 



CN"GHJWeDiT«fc 

CN=Guest 

CN-IU»_SERVER 

CN=IWAM_5ER¥ER 

CM-krbW 

CM=MYO0MAIW2t 

CN-ft*S«ldi»SServ« 

CW=5clìema Admins 



PsUr GD-VwmMYOOMAIN.ITCT-ErpTeitl .CN-Ushs.DI 
Class: Qtoup 



S elee? which propeities to view: j □ ptìwal 

SéKi a property lo wew 
Attobuie Vakres — 



S'jrtaz |DN 
EdJAHribiite: T 



Valuefs): 



CN=Francesco Di Lipj»,CN=Users.DC=M i r'DO 
CN.COMPU TER3.CN -Cornpulets.DC=M YOQ I. 
CN=COMPUT ER2.CN =Ct>mpu»ers DOMYOOh. 
CN=C0MPU T ER1 ,CN =Com|>u«ers.DC=MYODh, 
CN-Ad™nstrstoi,CN -Usei sjDC-M YDC MAIN.E 



Rem 



Cartcet 



Figura 2: Valore dell'attributo "member" dell'oggetto GrpTest! 



5.4 IL METODO PUT 

Se ripensiamo alle considerazioni fatte per i metodi Get e GetEx, non 
dovrebbe essere complicato comprendere i metodi che stiamo per ve- 
dere. Consideriamo, ancora una volta, il caso dell'utente Admini- 
strator e della proprietà (attributo) Description. 
Ecco quindi un semplice script che consente di modificarlo in ma- 
niera molto semplice: 

LISTATO 4 (Modifica dell'attributo Description) 

Option Explicit 
Dim objUsr 
Dim strLDAP 
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strLDAP = 

"LDAP://CN=Administrator,CN=Users,DC=MyDomain,DC=IT" 
Set objUsr = GetObject(strLDAP) 

Wscript.Echo " " 

Wscript.Echo 

"Modifica della descrizione dell'utente Administrator" 

Wscript.Echo " " 

objUsr.Description = "Questa è una descrizione nuova!" 
objUsr.Setlnfo 

Naturalmente, così come spiegato nel paragrafo precedente, se l'og- 
getto ADSI non supporta quel determinato attributo, è necessario 
ricorrere, in maniera analoga, al metodo Put. 
Quindi, la penultima istruzione andrebbe modificata in questo mo- 
do: 



objUsr.Put "Description", "Questa è una descrizione nuova!" 

5.5 LA LOCAL PROPERTY CACHE 

Molto probabilmente qualcuno si sarà accorto che, all'interno della 
tabella relativa ai metodi dell'interfaccia lADs, esistono alcuni rife- 
rimenti alla cosiddetta Property Cache. 
Se riflettiamo un attimo sulla complessità di Active Directory, ci ren- 
diamo conto che, all'interno di un'architettura nella quale esistono 
molteplici server, sparsi magari su sedi diverse, non ha molto senso 
"costringere" ADSI ad interrogare di volta in volta il database di AD, 
soprattutto quando le interrogazioni riguardano sempre o spesso, gli 
stessi oggetti. Per queste ragioni, ADSI conserva, lato client, una ca- 
che locale denominata, per l'appunto, Property Cache il cui funzio- 
namento è schematizzato di seguito: 
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Figura 3: La Property Cache 



La Property Cache è creata in locale al momento in cui effettuiamo 
il binding ad un oggetto, ma rimane vuota fino a quando non viene 
realmente fatta richiesta di ottenere il valore di una o più proprietà. 
In quel caso, ADSI riempie questa struttura con diverse informazio- 
ni, tra cui il nome delle proprietà ed il valore/valori dell'oggetto richiesto. 
In questo modo, quindi, le successive query saranno soddisfatte 
molto più velocemente perché ADSI, prima di "rivolgersi" diretta- 
mente ad Active Directory, controllerà la cache alla ricerca di quel- 
l'attributo. 



5.6 GETINFO, GETINFOEX E SETINFO 

Attorno al funzionamento della Property Cache esistono diverse con- 
siderazioni che si possono fare. Ad esempio: come possiamo essere 
sicuri che i dati che preleviamo siano quelli reali? In fondo, se non uti- 
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lizziamo i nostri script per molto tempo, potrebbe essere accaduto che 
dati contenuti nella Property Cache siano cambiati. 
E ancora: per quale ragione dobbiamo necessariamente riempire 
questa tabella con "tutti" gli attributi di un oggetto, quando maga- 
ri a noi ne interessa solo qualcuno? Bene, queste considerazioni, del 
tutto lecite, trovano risposta nei metodi Getlnfo e GetlnfoEx del- 
l'oggetto lADs. 

Con il primo metodo, infatti, forziamo l'aggiornamento della cache 
locale, assicurandoci quindi che i dati in essa contenuti siano sem- 
pre quelli attuali. La sintassi è piuttosto semplice e la si evince dai li- 
stati precedenti: 



Oggetto.Getlnfo 

Se, inoltre, non volessimo aggiornarla con tutti gli attributi dell'og- 
getto, anche e soprattutto per motivi di performance, possiamo af- 
fidarci al metodo GetlnfoEx la cui sintassi è: 



Oggetto.GetlnfoEx <Array attributi^ 0 

Ecco un frammento d'esempio che permette di caricare soltanto gli 
attributi "cn" e "member" del gruppo GrpTestl: 



Set objGroup = GetObject("LDAP://CN=GrpTest1,CN=Users,DC= 
MYDOMAIN,DC=IT") 

objGroup.GetlnfoEx ArrayC'cn", "member"), 0 



Per ultimo, ma sicuramente non per importanza, va sottolineato il 
metodo Setlnfo. 

Questo metodo (lo si evince anche dalla schematizzazione del fun- 
zionamento della Property Cache precedente) effettua il vero e pro- 
prio update delle modifiche apportate agli attributi degli oggetti 
contenuti nella cache, all'interno di Active Directory. 

I libri di ioPROGRAMMo/Lavorare con ACTIVE DIRECTORY 7| 



LAVORARE CON 

ACTIVE 



Manipolare gli oggetti di AD 



Capitolo 5 



Sino a quando non viene portata a termine questa operazione, tut- 
te le informazioni sino a quel momento modificate, rimangono all'interno 
della Property Cache e questo, ovviamente, anche per una maggio- 
re sicurezza (oltre che per ragioni di performance). 
Inoltre, giusto per inciso, è interessante sapere che al momento in cui 
viene lanciata questa "commit" verso la directory, non tutti gli attributi 
diventano oggetto di quest'operazione, ma soltanto quelli realmen- 
te modificati (durante le varie operazioni, infatti, ogni oggetto che su- 
bisce una qualunque modifica, viene marcato opportunamente in 
maniera tale da essere riconosciuto al momento in cui si lancia il 
metodo Setlnfo). 

5.7 IL METODO PUTEX 

Abbiamo visto come leggere attributi singoli (metodo Get) e multi- 
pli (metodo GetEx) e come impostare i valori di attributi a singolo 
valore (metodo Put). 

Analogamente a quanto evidenziato per il metodo GetEx, ci si potrebbe 
aspettare che esista un metodo analogo ad esso, ma in grado di ag- 
giornare attributi a valore multiplo. 

Ovviamente, questo metodo esiste, ma diversamente dal suo "omo- 
nimo" GetEx è molto più potente e molto più flessibile dell'analogo 
metodo Put. Stiamo parlando del metodo PutEx. 
Cominciamo vedendo la tipica sintassi di un'istruzione che utilizza il 
metodo PutEx: 

Oggetto.PutEx <Control Code>, <Attributo>, <Valori> 

Si osservi per prima cosa la presenza di un parametro aggiuntivo (il 

primo per l'esattezza) rispetto al metodo Put. 

Questo parametro, definito attraverso delle costanti, definisce il 

tipo di operazione che il metodo deve compiere, secondo la seguente 

tabella: 
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Property Control Code 


Valore 


Descrizione 


ADS_PROPERTY_CLEAR 


1 


Cancella tutti i valori di 
un attributo 


ADS_PROPERTY_UPDATE 


2 


Aggiorna i valori di un 
attributo con ì nuovi 


ADS_PROPERTY_APPEND 


3 


Aggiunge i valori 
passati come parametro 
a quelli presenti 


ADS_PROPERTY_DELETE 


4 


Rimuove un 
determinato valore da 
un'attributo 



Tabella 4: Le costanti (Control Code) relative al metodo PutEx 

Vediamo qualche eseFmpio che ci aiuti a comprendere meglio l'uti- 
lizzo di questo metodo. 



LISTA TO 5 (Modifica dei membri di un gruppo con PutEx) 



Option Explicit 

Const ADS_PROPERTY_CLEAR =1 

Const ADS_PROPERTY_UPDATE =2 

Const ADS_PROPERTY_APPEND =3 

Const ADS_PROPERTY_DELETE =4 
Dim objGroup 
Set objGroup = 

GetObject("LDAP://CN=GrpTest1,CN=Users, 
DC=MYDOMAIN,DC=IT") 



' Commentare le istruzioni con PutEx che non si desidera sfruttare 
' CLEAR - Cancella tutto il contenuto 

objGroup.PutEx ADS_PROPERTY_CLEAR, "member", vbNullstring 
' UPDATE - Aggiorna con Utentel e Utente2 
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objGroup.PutExADS_PROPERTY_UPDATE, "member", 
Array("CN=Utente1,CN=Users,DC=MYD0MAIN,DC=IT",_ 

"CN=Utente2,CN=Users,DC=MYD0 
MAIN,DC=IT") 

' APPEND - Aggiunta Utentel e Utente2 
objGroup.PutExADS_PROPERTY_APPEND, "member", 

Array("CN=Utente1,CN=Users,DC=IVlYD0IVlAIN,DC=IT",_ 
" CN=Utente2,CN=Users,DC=MYD0 

MAIN,DC=IT") 

' DELETE - Eliminazione Utentel 
objGroup.PutEx ADS_PROPERTY_DELETE, "member", 
Array("CN=Utente1,CN=Users,DC=MYD0MAIN,DC=IT") 

objGroup.Setlnfo 

5.8 I CONTAINERS 

L'argomento che stiamo per trattare probabilmente doveva trovare 
posto molto prima di questo capitolo o quantomeno all'inizio della 
seconda parte del libro. Questo perché Active Directory, se lo vedia- 
mo da un punto di vista soprattutto "astratto", è composto da diversi 
oggetti, la maggior parte dei quali sono soprattutto container. 
In effetti, abbiamo visto, parlando della struttura di un generico al- 
bero LDAP che rappresentava Active Directory, che ogni nodo di que- 
sta struttura era quasi sempre rappresentato da oggetti che ne con- 
tenevano altri. Durante il cammino che ci ha portato sin qui, abbia- 
mo visto o parlato (magari non rendendocene conto) di questo tipo 
di oggetti (i gruppi, ad esempio o le Organizational Unit). 
Per poter interagire con questo genere di oggetti, ADSI mette a di- 
sposizione del programmatore un'apposita interfaccia, definita tra le 
Core Interfaces e denominata lADsContainer. 



74 



I libri di ioPROGRAMMO/Lavorare con ACTIVE DIRECTORY 



Capitolo 5 



Manipolare gli oggetti di AD 



LAVORARE CON 

ACTIVE 



Immaginiamo per un attimo di considerare il seguente contenitore 
di AD: 



]ìrt AD - [Console Root \Active Directory Users and Con 




J ^ Console Window Help 


j □ u | si ^is 


J Action View Favorites |J<^ "4 | £l 0@ | ]Ìj* 0' | lS 


j >n a & ^ & 'TS 


Tree J Favorites | 


Builtin 9 objects 


r~\ Console Root 

É-^|g Active Directory Domains and Trust: 
É w Active Directory Sites and Services 
B-é^ Active Directory Users and Computf 

É--{jjp hvdohain.it 

! CJ Builtin 

Computers 
È-f^l Domain Controllers 
S-CH ForeignSecurityPrincipals 
El-Q LostAndFound 

$-ia oui 

m -&i ou2 

È"0 System 
é -£j Users 


Name | Typt 


(^Account Operators Sea 
f^Administrators Sea 
(^Backup Operators Sea 
f^Guests Sea 
^^Pre-Windows 2000 Compatible Access Seci 
(J^Print Operators Sea 
(^Replicator Seci 
(^Server Operators Seci 
Users Sea 


'1 1 H 


«l l 


r r 



Figura 4: 1 membri del container Builtin 

Basandoci anche sugli script precedenti, non dovrebbe essere com- 
plicato comprendere che il seguente listato consente di ottenere la 
lista di tutti gli "oggetti" del contenitore Builtin: 



s 



Option Explicit 
Dim objDSE 
Dim strLDAP 
Dim Object 
Dim objDomain 

Set objDSE = GetObject("LDAP://rootDSE") 

strLDAP = "LDAP://cn=Builtin," & objDSE.Get("defaultNamingContext" 
Set objDomain = GetObject(strLDAP) 
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Cali ListObject(objDomain) 
Sub ListObject(objContainer) 

For Each Object In objContainer 

Wscript.Echo Object.Name 

Next 
End Sub 

LISTA 10 6 Elenca tutti i membri del container "Builtin " 

Questa operazione, quella di enumerazione degli elementi del con- 
tenitore Builtin è resa possibile grazie all'intervento dell'interfaccia 
lADsContainer. Questa interfaccia è fondamentale perché è pratica- 
mente impossibile intervenire su oggetti di Active Directory senza 
tenerne conto. Di seguito mostriamo i metodi e le proprietà suppor- 
tati: 



Metodo 


Descrizione 


get_Count 


Ritorna il numero di oggetti del container (non 
implementato sotto AD). 


get NewEnum 


Ritorna un oggetto enumerator per il contenitore. 


getjilter 


Ritorna il filtro sugli elementi che verranno enumerati 
(sulle classi dello schema). 


put_Filter 


Imposta un filtro sugli elementi che verranno enumerati 
(sulle classi dello schema). 


get_Hints 


Ritorna le proprietà che saranno recuperate per ciascun 
oggetto del container. 


putjints 


Imposta le proprietà che saranno recuperate per ciascun 
oggetto del container. 


GetObject 


Ritorna l'interfaccia per un oggetto del container. 


Create 


Crea un nuovo oggetto nel container. 


Delete 


Elimina un oggetto del container. 


CopyHere 


Copia un oggetto del container. 


MoveHere 


Sposta un oggetto del container. 



Tabella 5: Metodi dell'interfaccia lADsContainer 
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Proprietà 


Descrizione 


Count 


Identifica il numero di oggetti del container. 


Filter 


Filtro impostato per enumerare gli oggetti. 


Hints 


Contiene le proprietà degli item da enumerare contenuti 
nel container. 



Tabella 6: Proprietà dell'interfaccia lADsContainer 



Facciamo vedere ancora un esempio che consente filtrare il conte- 
nuto degli oggetti del container che vengono enumerati. In questo 
caso prendiamo come riferimento il contenitore Users: 



f.-m AD - [Console Root\Active Directory Users and Co 



'^j Console Window Help 



Action View Favorites 



J <p ■+ | 15 [B| X 1É 1 \È 



FfrflMh ^ # 



Tree | Favorites J 



Pi Console Root 

È-^E Attive Directory Domains and Trust: 
+ Attive Directory Sites and Services 
H-^^ Active Directory Users and Computo 
É-^P MVDOMAIN.IT 

! CJ Builtin 

H-CD Computers 
E-f^l Domain Controllers 
EJ-CH ForeignSecurityPrincipals 
S-CH LostAndFound 
L±H^] 0U1 
É-gS 0U2 



L±]-GD System 



il 



Users 26 objects 



Name 



I T VP e 



E Administrator User 

j®Ceft Publishers Secu 

^DnsAdrnins Secu 

{J^DnsUpdateProxy Secu 

^Domain Admins Secu 

{^Domain Computers Secu 

{^Domain Controllers Secu 

{^Domain Guests Secu 

^Domain Users Secu 

{^Enterprise Admins Secu 

S Francesco Dr, Lippo User 
{J^Group Policy Creator Owners Secu 

{^GrpLocalTest Secu 

3 I 



_ 



Figura 5: Un tipico errore non gestito dall'applicazione. 



Attraverso uno script simile al precedente, ma con l'aggiunta di 
qualche istruzione che consente di filtrare gli oggetti del conteni- 
tore in base alla classe a cui appartengono, potremo selezionare 
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i soli oggetti di tipo "gruppo": 

Option Explicit 
Dim objDSE 
Dim strLDAP 
Dim Object 
Dim objDomain 

Set objDSE = GetObject("LDAP://rootDSE") 
strLDAP = "LDAP://cn=Users," & objDSE.Get 
("defauItNamingContext") 
Set objDomain = GetObject(strLDAP) 
Cali ListObject(objDomain) 
Sub ListObject(objContainer) 
' CON FILTRO 

WScript.Echo "LISTA FILTRATA SU group" 
objContainer.Filter = ArrayC'group") 
For Each Object In objContainer 
Wscript.Echo Object.Name & 
" Class: " & Object.Class 
Next 

' SENZA FILTRO WScript.Echo 
"USTA SENZA FILTRO" 
objContainer.Filter = Nothing 
For Each Object In objContainer 
Wscript.Echo Object.Name & 
" Class: " & Object.Class 

Next 
End Sub 

LISTATO 7 Lista degli elementi del container Users con e senza 
Filter 



Questo listato produce un risultato simile a: 
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LISTA FILTRATA SU group 

CN=Cert Publishers Class: group 
CN=DnsAdmins Class: group 
CN=DnsUpdateProxy Class: group 

LISTA SENZA FILTRO 

CN=Administrator Class: user 
CN=Cert Publishers Class: group 
CN=DnsAdmins Class: group 
CN=Francesco Dr. Lippo Class: user 
CN=Group Policy Creator Owners Class: group 

Nella seconda parte dell'output, si noti la presenza di oggetti ap- 
partenenti anche ad altre classi di oggetti, mentre nella prima era- 
no visibili solo quelli di tipo "group". Inoltre, se volessimo migliora- 
re il funzionamento di questo script, potremmo avvalerci di quest'i- 
struzione, inserita prima dell'enumerazione: 



objContainer.Hints = ArrayC'Name", "Class") 

che permette di utilizzare i soli attributi che Name e Class che c'in- 
teressano, migliorando le performance dello script. 
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LE PROPERTY CACHE INTERFACES 

Quando dobbiamo recuperare i valori degli attributi di un determi- 
nato oggetto o dobbiamo modificarli, abbiamo visto quanto sia im- 
portante l'interfaccia lADs che, attraverso i suoi metodi, ci consen- 
te effettuare facilmente queste operazioni. 
Abbiamo anche accennato all'esistenza di una Property Cache che 
conserva gli attributi degli oggetti in locale ma, a parte questo, è in- 
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discutibile che dobbiamo conoscere il nome di questi attributi pri- 
ma di poterci mettere le mani sopra. Ovviamente la via più logica 
per scandire questa lista sarebbe quella d'interrogare direttamente 
lo Schema di Active Directory, ma vedremo che esistono alcune interfacce 
ADSI che possono in parte aiutarci e facilitarci il compito. 

5.9 PROPRIETÀ DI UNA CLASSE 

Abbiamo già accennato più volte al ruolo importante che ricopre lo 
Schema all'interno di Active Directory. Abbiamo anche accennato 
che al suo interno è contenuto l'elenco di tutte le classi di oggetti, con 
la definizione degli attributi e quant'altro sia necessario a gestirli 
correttamente. Appare quindi ovvio che, se volessimo elencare le 
proprietà di un determinato oggetto, dovremmo necessariamente 
sapere quale sia la classe alla quale l'oggetto stesso appartiene ed 
interrogare di conseguenza lo Schema alla ricerca di queste infor- 
mazioni. Il primo passo per raggiungere il risultato è quello di otte- 
nere l'informazione relativa allo Schema Container, che sappiamo 
essere replicato su ogni Domain Controller della Foresta. Per otte- 
nere il suo Distinguished Name, abbiamo visto che è possibile sfrut- 
tare l'attributo schemaNamingContext dell'oggetto RootDSE attra- 
verso il quale possiamo effettuare l'operazione di binding e recupe- 
rare infine le informazioni che ci servono. Tuttavia esiste un'altra pos- 
sibilità, analoga come risultato alla precedente, ma che consente di 
effettuare il binding allo Schema in maniera molto più rapida, con me- 
no istruzioni. Ecco la generica stringa utile da utilizzare per "aggan- 
ciare" lo Schema di AD: 

LDAP://schema 

Se, in fondo a questa stringa aggiungiamo un "/" seguito dal nome 
della classe che vogliamo, avremo ottenuto un riferimento all'og- 
getto "classe" contenuto all'interno dello Schema e potremo leg- 
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geme gli attributi. 

Il listato seguente dovrebbe rendere la spiegazione precedente an- 
cor più chiara: 

Option Explicit 
Dim objClass 
Dim strPropName 
Dim Cont 

Set objClass = GetObject("LDAP://schema/group") 
Cont = 0 

WscriptEcho "PROPRIETÀ 1 MANDATORY" 
For Each strPropName In objClass.MandatoryProperties 
Cont = Cont + 1 

WScript.Echo Cont & ") " & strPropName 
Next 
Cont = 0 

WscriptEcho "PROPRIETÀ 1 OPTIONAL" 
For Each strPropName In objClass.OptionalProperties 
Cont = Cont + 1 

WScript.Echo Cont & ") " & strPropName 
Next 

LISTATO 8 Lista degli attributi della classe GROUP 

In questo script, si elencano i nomi degli attributi della classe group 
ossia la generica classe che consente di descrivere i gruppi di Win- 
dows 2000. In particolare si osservi la presenza dell'attributo Man- 
datoryProperties e dell'attributo OptionalProperties. 
Queste due proprietà dell'oggetto che, all'interno dello schema, de- 
finisce la generica classe, costituiscono l'array delle proprietà obbli- 
gatorie e di quelle opzionali per quella classe. Avremo modo di incontrare 
in altri script questi due termini e soprattutto di comprenderne me- 
glio l'importanza. 
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Tornando allo script appena mostrato, tutto quello che fa è: 

• si connette allo Schema Container di Active Directory; 

• effettua il binding alla classe group. Trattandosi di un og- 
getto "classe", l'oggetto restituito supporta l'interfaccia 
lADsClass che consente di manipolare proprio questi og- 
getti dello Schema; 

• sfruttando le proprietà MandatoryProperties e Optional- 
Properties dell'oggetto lADsClass, elenca tutti i nomi degli 
attributi della classe group. 

Ecco il possibile output del programma: 



R C:\WINNT\System32\cmd.eHe 

Copyright <C> Microsoft Corporation 1996-1999. fili ri- 

PROPRIETÀ' MANDATORY 

1> cn 

2> groupType 

3> instanceType 

4> nTSecurityDescriptor 

5> objectCategory 

6> objectClass 

7> objectSid 

S> sAMAccountName 



PROPRIETÀ' OPTIONAL 

1> accountNaneHistory 

2> adninCount 

3> adninDescript ion 

4> adninDisplayName 

5> allowedfittributes 

6> allowedAttributesEf f ect iue 

7> allowedChildClasses 

8> allowedChildClassesEf f ect iue 

9> altSecurityl dent it ies 

1@> bridgeheadSeruerListBL 

il> canonicalName 

12 > controlAccessRights 

13 > create! imeStamp 
14> descript ion 

15 > desktopProf ile 

16 > directReports 
17> displayName 

18 > d is p layName Pr in t ab le 
19 > dist inguishedNane 
20> dS A Signature 
21 > dSCorePropagat ionData 



Figura 6: Output dello script che mostra gli attributi della classe group 
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In Figura 6, invece, troviamo le stesse informazioni viste attraverso 
l'interfaccia dello snap-in Active Directory Schema. Tuttavia, è bene 
sapere che per poter accedere ad informazioni di questo tipo, pos- 
siamo sfruttare alcuni importanti oggetti COM messi a disposizione 
da ADSI ed in grado d'interagire direttamente con le informazioni 
della Property Cache. Vediamo come. 



jm Schema - [Console Root\Actìve Directory Schema \Classes\gr 



'^j Console Win do w Help 



□ & u 



Action View Favorites 



Tree | Favorites j 



■•fi FileLinkTrackingEntry 

■•fi ForeignSecurityPrincipal 

■■■■C FTDfs 

■■fi g r0IJ P 

■■•fi groupOfNannes 

■•fi groupPolicyContainer 

■•fi indexServerCatalog 

■■•fi infrastructureUpdate 

■■■■E i nt eli imiir or Group 

■■■•fi intellimirrorSCP 

■■•fi inter5iteTransport 

■■■•fi inter5iteTransportContair 

■■•fi ipsecBase 

■■•fi ipsecFilter 

I 



1\ 



J 



Name 



♦ cn 

♦ groupType 

♦ instanceType 

♦ nT5ecurityDescriptor 

♦ objectCategory 

♦ objectClass 

♦ objectSid 

♦ sAMAccountName 

♦ accountNameHistory 

♦ adminCount 

♦ adminDescription 

♦ adminDisplayName 

♦ allowedAttributes 

Jj I 



Mandatorv 

Mandator^ 

Mandatorv 

Mandator^ 

Mandatorv 

Mandatorv 

Mandatorv 

Mandatorv 

Optional 

Optional 

Optional 

Optional 

Optional 



Figura 7: Lista degli attributi della classe group 



5.10 LE PROPERTY CACHE 
INTERFACES 

Nel capitolo precedente abbiamo mostrato il funzionamento, a gran- 
di linee, della Property Cache. 

Si è detto che ogni qualvolta effettuiamo il binding ad un oggetto di 
AD, tutti i suoi attributi sono scaricati nella cache locale per utilizzi 
futuri. ADSI mette a disposizione le interfacce lADsPropertyList, IAD- 
sPropertyEntry, lADsPropertyValue e IADsPropertyValue2 che ci con- 
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sentono di recuperare molte informazioni sugli attributi di un og- 
getto/classe. 
In particolare: 

• lADsPropertyList: consente di leggere e modificare una li- 
sta di proprietà contenute all'interno della Property Cache; 

• lADsPropertyEntry: utilizzata per la modifica di una specifi- 
ca entry nella Property Cache; 

• lADsPropertyValue: consente di scrivere e leggere il valore di 
una proprietà esprimendolo nel formato previsto da un de- 
terminato data type; 

• IADsPropertyValue2: simile alla precedente, ma in grado di 
sfruttare ed esprimere una proprietà in un qualunque tipo di 
data type. 



Innanzitutto diamo un'occhiata ai metodi specifici e di nostro inte- 
resse di ognuna: 



lADsPropertyList 
(proprietà/metodi) 


Descrizione 


get_PropertyCount 


Ritorna il numero di proprietà 
dell'oggetto. 


Next 


Passa all'item/proprietà 
successivo. 


Skip 


Salta un determinato numero 
di item nella lista delle 
proprietà. 


Reset 


Ritorna all'inizio della lista. 


Item 


Ritorna ad una proprietà 
specificata attraverso l'indice o 
il nome. 


GetPropertyltem 


Ritorna il valore di una 
proprietà. 
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lADsPropertyList 
(proprietà/metodi) 


Descrizione 


PutPropertyltem 


Modifica il valore di una 
proprietà. 


ResetPropertyltem 


Resetta 1 valori di una 
determinate proprietà. 


PurgePropertyList 


Elimina tutte le proprietà dalla 
lista. 


Tabella 7: Proprietà e metodi dell'interfaccia lADsPropertyList 


lADsPropertyEntry (proprietà) 


Descrizione 


get/put_Name 


Preleva/imposta il nome di una 
proprietà. 


get/put_ADS_Type 


Preleva/imposta il valore che esprime 
il tipo di dato di una proprietà. 


get/put_ControlCode 


Flag che identifica o imposta 
eventuali modifiche sull'entry. 


get/put_Values 


Preleva/imposta i valori correnti di una 
determinata entry. 


Tabella 8: Proprietà dell'interfaccia lADsPropertyEntry 


lADsPropertyValue 
(proprietà/metodi) 


Descrizione 


ClearO 


Cancella il valore corrente. 


get/put_ADsType 


Preleva/imposta il tipo di dato. 


get/put_DNString 


Preleva/imposta il DN 
dell'oggetto. 


get/put_CaseExactString 


Preleva/imposta il valore di una 
stringa case-sensitive. 


get/put_CaselgnoreString 


Preleva/imposta il valore di una 
stringa non case-insensitive. 



Tabella 9: Metodi e proprietà dell'interfaccia lADsPropertyValue 
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lADsPropertyValue 
(proprietà/metodi) 


Descrizione 


get/put_PrintableString 


Preleva/imposta il valore di una 
printable string. 


get/put_NumericString 


Preleva/imposta il valore di una 
stringa numerica. 


get/put_Boolean 


Preleva/imposta il valore di un 
boolean. 


get/put_lnteger 


Preleva/imposta il valore di un 
intero. 


get/put_OctetString 


Preleva/imposta il valore di un 
ottetto (8 bit). 


get/put_SecurityDescriptor 


Preleva/imposta il valore di un 
security descriptor. 


get/put_Largelnteger 


Preleva/imposta il valore di un 
intero espresso con 64 bit. 


get/put_UTCTime 


Preleva/imposta il valore di un 
Coordinated Universal Time. 


Tabella 10: Metodi e proprietà dell'interfaccia lADsPropertyValue 


IADsPropertyValue2 (metodi) 


Descrizione 


GetObjectProperty 


Recupera i valori di una 
determinata proprietà. 


PutObjectProperty 


Imposta i valori di una determinate 
proprietà. 



Tabella 11: Metodi dell'interfaccia IADsPropertyValue2 



In Tabella 7 e Tabella 9, in rosso, sono indicati rispettivamente l'unica 
proprietà e l'unico metodo dell'interfaccia alla quale la tabella si ri- 
ferisce. Affinché si abbia un'idea ancor più precisa di cosa vogliano 
effettivamente indicare ciascuno degli oggetti ADSI appena mo- 
strati, riportiamo di seguito una piccola schematizzazione che può 
aiutare a capire meglio questi aspetti: 
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Figura 8: Property Cache Interfaces 



s 



Tanto per avere un'idea ancor più precisa sull'utilizzo di queste interfacce, 
proviamo a mostrare un semplice esempio dal quale poi faremo le do- 
vute considerazioni: 

Option Explicit 

Dim objGrp 

Dim Cont 

Dim pCont 

Dim objPropEntry 

Dim objPropValue 

Dim arrADSType(29) 

arrADSType(O) = "ADSTYPEJNVALID" 

arrADSType(l) = "ADSTYPE_DN_STRING" 

arrADSType(2) = " ADSTYPE_CASE_EXACT_STRING " 

arrADSType(3) = " ADSTYPE_CASE_IGNORE_STRING " 

arrADSType(4) = "ADSTYPE_PRINTABLE_STRING" 
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di iMUj 1 yptil — 


MUj I 1 r L_ 


MI IMPRir QTRIMft " 
IMU IVILnl\__j 1 rvl NU 


di iMU J 1 yptrloy — 


" ArKTVPF 
MUj 1 1 r L_ 


RCÌfìI PAM" 


di IMUj 1 yptil / ) — 


" ArKTVPF 
MUj 1 1 r L_ 


IMTFGFR" 
IN 1 tu Cr\ 


diTMU J 1 yptrloj — 


" ArKTVPF 
MUj 1 1 r L_ 


1 L 1 _j 1 mIMU 


di imu j i yptriy^ — 


" ArKTVPF 
MUj 1 TrL_ 


1 \TC TIMF " 
U 1 L_ 1 1 IVI L 


di IMUj I yptrl I U) — 


MUj 1 1 rL 


1 ARl^F IMTFf^FR" 
_LMr\OL_IIN 1 LULr\ 


di IMU J I yptil I I ) — 


MUj 1 1 rL_ 


_rr\UV_jrLLlrli^ 


di IMUj I yptil I L) — 


MUj 1 1 rL_ 


nR irrT ri ac.c" 

UDJL^. 1 _LLMjj 


di IMUj I yptil I d) — 


"ADSTYPE. 


_CASEIGNORE_UST" 


di IMUj I yptil I *+) — 


"ADSTYPE. 


_OCTET_LIST" 


di IMUj I yptil I D) — 


"ADSTYPE. 


_PATH " 


di IMUj I yptil I 0^ — 


"ADSTYPE. 


_P0STALADDRE5S" 


di IMU J I yp"i I / ) — 


" ADSTYPE_TI M ESTAM P " 


di IMUj I yptil I o) — 


"ADSTYPE. 


_BACKLINK" 


di IMUj 1 yptil 1 3) — 


"ADSTYPE_TYPEDNAME" 


di imuj 1 yptiizu^ — 


"ADSTYPE_ 


_H0LD " 


di IMU J i ypeiz I ) — 


"ADSTYPE. 


_NETADDRESS" 


di IMUj I yptiliZ^ — 


"ADSTYPE_ 


_REPLICAPOINTER" 


di IMUj I yptilZ d) — 


"ADSTYPE_ 


JAXNUMBER" 


di IMU J I yptrli^ — 


"ADSTYPE_ 


.EMAIL" 


arrADSType(25) = 


"ADSTYPE_ 


_NT_SECURITY_DESCRIPTOR" 


arrADSType(26) = 


"ADSTYPE. 


_UNKN0WN" 


arrADSType(27) = 


"ADSTYPE. 


_DN_WITH_BINARY" 


arrADSType(28) = 


"ADSTYPE_ 


DN_WITH_STRING" 



' Binding al gruppo Administrators del dominio MyDomaln.it. 



Set obj Grp= 

GetObject("LDAP://CN=Administrators,CN=Builtin,DC=MyDomain,DC=it") 
objGrp.Getlnfo 
WScript.Echo "> 

ELENCO PROPRIETÀ' DEL GRUPPO ADMINISTRATORS <" 
& vbCrLf 
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Per tutte le proprietà rilevate, fa vedere i valori attuali. 
' NB: Alcune proprietà sono, in realtà, degli array. 
Questo rende necessario il secondo ciclo FOR 
NFORMAZIONI GENERALI (INTERFACCIA lADsPropertyList) 

WscriptEcho " - lADSPropertyList OBJECT - " 

Wscript.Echo " Numero di proprietà rilevate: " & objGrp.PropertyCount 

Elenca alcune informazioni per ogni proprietà rilevata 



For Cont = 0 To objGrp.PropertyCount - 1 
pCont = 1 

INFORMAZIONI GENERALI (INTERFACCIA lADsPropertyEntry) 

a 

Set objPropEntry = objGrp.ltem(Cont) 

Wscript.Echo " - lADsPropertyEntry -" 

Wscript.Echo " Nome proprietà : " & objPropEntry.Name 

Wscript.Echo" ADSType :"& 
arrADSType(objPropEntry.ADSType) 

Wscript.Echo " Control Code : " 
& objPropEntry.ControlCode 
For Each objPropValue In objPropEntry. Values 
Wscript.Echo " - lADsPropertyValue -" 
WscriptEcho " - ADSType Value : " & 
arrADSType(objPropValue.ADSType) 
Next 

Wscript.Echo vbCrlf 
Next 



LISTATO 9 Esempio d'utilizzo delle Property Cache Interfaces 



Ecco l'output parziale prodotto dallo script: 
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> ELENCO PROPRIETÀ' DEL GRUPPO ADMINISTRATORS < 



IADSPropertyList OBJECI - 
Numero di proprietà rilevate: 21 
- I ADsPropertyEntry 



None proprietà : 
ADS Type : 
Control Code : 

- IADsPropertyUalue 

- ADS Type Ualue : 

- IADsPropertyUalue 

- ADS Type Ualue : 

- IADsPropertyUalue 

- ADS Type Ualue : 

- IADsPropertyUalue 

- ADS Type Ualue : 



nember 

adst¥pe_dn_stri ng 
b 



ADST¥PEJN_STRING 
A DS T Y PE_DN_S T R I NG 



A DS T ¥ PE_DN_S T R I NG 
A DS T ¥ PE_DN_S T R I NG 



— I ADsPropertyEntry — 
None proprietà : cn 

ADS Type : A DS T Y PE_CA S E_I GNORE_S T R I NG 

Control Code : B 
- IADsPropertyUalue - 

- ADS Type Ualue : ADST¥PE_CASE_IGNORE_STRING 



- I ADsPropertyEntry - 

None proprietà : description 

ADS Type : A DS T ¥ PE_CA S E_I GNORE_S T R I NG 

Control Code : B 
- IADsPropertyUalue - 

- ADS Type Ualue : ADST¥PE_CASE_IGNORE_STRING 



Figura 9: Output dello script 



Come si può vedere, accanto alla stringa Nome proprietà, sono elen- 
cati gli stessi nomi degli attributi già visti all'inizio del capitolo, ma 
ottenuti non utilizzando lo Schema di Active Directory, ma interrogando 
direttamente la Property Cache. Tuttavia, anche in considerazione di 
quest'ultima affermazione e dando un'occhiata più attenta al risul- 
tato del listato precedente, possiamo desumere ed aggiungere al- 
cuni particolari importanti: 

• se confrontiamo l'output dei due script precedenti, ci renderemo 
presto conto che il numero di attributi ritornati dal secondo 
è un sottoinsieme del primo. Questo risultato ci porta ad af- 
fermare una cosa importante: gli attributi che non conten- 
gono alcun valore non vengono scaricati in cache. In que- 
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sti casi, il codice di errore riportato all'interno dello script è 
rappresentato dalla costante Const 
E_ADS_PROPERTY_NOT_FOUND = &H8000500D. 
l'array arrADSType è l'array che definisce le costanti che 
identificano il possibile valore della proprietà ADSType de- 
gli oggetti ADSI che li supportano. In particolare, l'indice del 
generico item dell'array indica effettivamente il valore as- 
sunto dalla generica costante che definisce il tipo di dato. Ad 
esempio, se prendiamo la riga arrADSType(7) = "ADSTY- 
PEJNTEGER" questa ci dice che il valore della costante AD- 
STYPEJNTEGER è proprio 7. Stesso discorso, ovviamente, per 
i restanti. Queste costanti, in realtà, fanno parte di una strut- 
tura di tipo Enum denominata ADSTYPEENUM e dalla qua- 
le, per comodità, sono state estrapolate le costanti. 
Il ciclo: 



For Cont = 0 To objGrp.PropertyCount - 1 



Next 

all'interno del quale vengono rilevate tutte le proprietà della cache, 
poteva anche essere sostituito con qualcosa di simile a: 



Set objPropEntry = objGrp.Next 
While 

(Not (IsNull(objPropEntry)) And Err.Number = 0) 

Set objPropEntry = objGrp.Next 
Wend 



La prima riga richiama il metodo Next dell'oggetto objGrp che, trat- 
tandosi della prima volta che il metodo viene chiamato, assegnerà a 
objPropEntry una copia del primo elemento della lista di proprietà. 
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• Se osserviamo bene l'output dello script mostrato (ma anche 
se abbiamo dato un'attenta occhiata a metodi e proprietà del- 
le interfacce oggetto di questo capitolo) ci saremo accorti 
che la proprietà ADSType è presente sia per la lADsPro- 
pertyEntry che per la lADsPropertyValue. Tuttavia, rivedendo 
l'output parziale dello script mostrato in Figura 9, non è dif- 
ficile rilevare che il risultato, in corrispondenza di questa 
proprietà, è sempre lo stesso, identico per entrambe le interfacce. 
Questo non rappresenta un vero e proprio errore, bensì l'im- 
plementazione di una feature cheActive Directory è predi- 
sposta ad "accogliere", ma non ancora supportata: la pos- 
sibilità, per il generico item "lADsPropertyValue" di gestire 
collezioni di valori di diverso tipo. 

• L'oggetto lADsPropertyEntry possiede una proprietà denominata 
ControlCode che identifica in che maniera va trattata quel- 
la proprietà quando verrà effettuato l'aggiornamento in Ac- 
tive Directory. Il valore che può assumere questo flag è iden- 
tificato da 4 costanti: 

- ADS_PROPERTY_CLEAR = 1 

- ADS_PROPERTY_UPDATE = 2 

- ADS_PROPERTY_APPEND = 3 

- ADS_PROPERTY_DELETE = 4 

che, se ricordiamo bene, sono proprio quelle che utilizzavamo con il 
metodo PutEx dell'interfaccia lADs e definite dalla struttura di tipo 
Enum denominata ADS_PROPERTY_OPERATION_ENUM. 

• I valori rappresentati dalla proprietà ADSType, in realtà, map- 
pano in una qualche maniera altrettanti valori LDAP pre- 
senti in Active Directory. Semplificando il discorso, questo è 
spiegabile perché Active Directory possiede un certo nume- 
ro di data type particolari, difficilmente rappresentabili nel 
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modo COM-ADSI e, di conseguenza, questo significa oc- 
corre creare una certa corrispondenza (laddove possibile) 
tra i tipi di dati definiti/definibili da un oggetto ADSI e quel- 
li riconosciuti da LDAP/Active Directory. Di seguito, per inciso, 
la tabella delle corrispondenze: 



ADSTYPE 


LDAP Type 


ADSTYPE_DN_STRING 


LDAPTYPE.DN 


ADSTYPE_CASE_EXACT_STRING 


LDAPTYPE.CASEEXACTSTRING 


ADSTYPE_CASE_IGNORE_STRING 


LDAPTYPE_CASEIGNORESTRING 

LDAPTYPEJ3ITSTRING 

LDAPTYPE_DIRECTORYSTRING 

LDAPTYPE_COUNTRYSTRING 

LDAPTYPEJ A5STRI N G 

LDAPTYPE_OID 

DAPTYPE_TELEPHONENUMBER 

LDAPTYPE_ATTRIBUTETYPEDESCRIPTION 

LDAPTYPE_OBJECTCLASSDESCRIPTION 


ADSTYPE_CASE_IGNORE_STRING 


LDAPTYPE_POSTALADDRESS 
LDAPTYPE_DELIVERYMETHOD 
LDAPTYPE_ENHANCEDGUIDE 
LDAPTYPE_FACSIMILETELEPHONENUMBER 
LDAPTYPE GUIDE 

LDAPTYPE_N AM EAN DOPTION ALU 1 D 

LDAPTYPE_PRESENTATIONADDRESS 

LDAPTYPE_TELEXNUMBER 

LDAPTYPE_DSAQUALITYSYNTAX 

LDAPTYPE_DATAQUALITYSYNTAX 

LDAPTYPE_MAILPREFERENCE 

LDAPTYPE_OTHERMAILBOX 

LDAPTYPE.ACCESSPOINTDN 

LDAPTYPE_ORNAME 


ADSTYPE_PRINTABLE„STRING 


LDAPTYPE_PRINTABLESTRING 


ADSTYPE_NUMERIC_STRING 


LDAPTYPEJMUMERICSTRING 


ADSTYPE_BOOLEAN 


LDAPTYPE_BOOLEAN 



Tabella 12: Corrispondenza tipi ADSI-LDAP 

I libri di ioPROGRAMMo/Lavorare con ACTIVE DIRECTORY 93 



LAVORARE CON 

ACTIVE 



Manipolare gli oggetti di AD 



Capitolo 5 



ADSTYPE 


LDAP Type 


ADSTYPEJNTEGER 


LDAPTYPEJNTEGER 


ADSTYPE_OCTET_STRING 


LDAPTYPE_OCTETSTRING 

LDAPTYPE_CERTIFICATE 

LDAPTYPE_CERTIFICATELIST 

LDAPTYPE_CERTIFICATEPAIR 

LDAPTYPE_PASSWORD 

LDAPTYPE_OID 

LDAPTYPEJELETEXTERMINALIDENTIFIER 

LDAPTYPE_AUDIO 

LDAPTYPEJPEG 

LDAPTYPE_FAX 


ADSTYPE_NT_SECURITY_ 
_DESCRIPTOR 


LDAPTYPE„SECURITY„DESCRIPTOR 


ADSTYPE_UTC_TIME 


LDAPTPYE_UTCTIME 


ADSTYPE_UTC_TIME 


LDAPTYPE_GENERALIZEDTIME 


ADSTYPE_LARG E_l NTEG ER 


LDAPTYPEJNTEGER8 


E_ADS_CANT_CONVERT_ 
_DATATYPE 


LDATYPEJJNKNOWN 



Tabella 12: Corrispondenza tipi ADSI-LDAP 



ACTIVE DIRECTORY SEARCHING 

Sinora abbiamo sempre dato per scontato il fatto di conoscere esat- 
tamente l'oggetto sul quale operare. Non ci siamo mai posti il pro- 
blema di dover ricercare qualcosa all'interno di Active Directory che 
rispondesse a determinati criteri e sul quale, successivamente, com- 
piere le nostre azioni. La maniera più comoda e quella sicuramente 
consigliata per chi deve implementare ricerche all'interno dei propri 
script VBS è quella di utilizzare l'ADSI OLE DB Provider e su questa 
tecnologia incentreremo questo capitolo. 

Alcune premesse 

Sinora, quando abbiamo avuto la necessità di agire su un determi- 
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nato oggetto di Active Directory, abbiamo anche dovuto conoscere 
quell'oggetto sul quale lavorare. Nel capitolo 7 abbiamo visto come 
sia possibile accedere agli item di un determinato container e, addi- 
rittura, filtrare gli elementi in base a determinati criteri, ma questo mec- 
canismo, sebbene perfettamente funzionante, si può rivelare molto 
lento e comunque non sempre adatto ai nostri scopi. 
Nei casi in cui abbiamo necessità di recuperare informazioni solo su 
oggetti che rispondono a determinate caratteristiche attraverso script 
VBS, dobbiamo affidarci ad un'ulteriore strumento a disposizione 
con ADSI e denominato ADSI OLE DB provider. In questo capitolo 
vedremo alcune tecniche che ci consentono di utilizzare questi og- 
getti per effettuare ricerche. Ovviamente, mostreremo solo alcuni 
dei metodi utili a raggiungere lo scopo, rimandando per maggiori 
informazioni al sito della Microsoft. 



s 



5.11 RICERCHE CON ADO 

ADO rappresenta una tecnologia attraverso la quale è possibile ricercare 
informazioni all'interno di un database, recuperando tali dati attra- 
verso un'apposito oggetto definito genericamente Resultset. 
Per facilitare l'integrazione con Active Directory, in particolare, e sfrut- 
tare le capacità offerte da ADO, la Microsoft ha costruito un ADO 
Database Provider per ADSI, definito prima con il nome di ADSI OLE 
DB Provider. Purtroppo, cominciamo con il dire subito che l'ADSI OLE 
DB Provider consente operazioni in sola lettura, ma a discapito di 
questo "difetto", offre possibilità estremamente superiori alle tecniche 
viste in precedenza con altri oggetti come l'IADsContainer. 
Il modello ad oggetti che descrive ADO è composto da 9 elementi, tra 
i quali menzioniamo gli oggetti Connection, Command e Recordset 
tra i più importanti che incontreremo. 

Quando decidiamo di affidarci ad ADO per le ricerche all'interno 
di Active Directory, possiamo/dobbiamo rispettare almeno quat- 
tro passi: 
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• Connessione al database di AD. 

• Definizione ed avvio della query. 

• Lettura ed utilizzo dei risultati. 

• Chiusura della connessione 

Per quanto riguarda il primo passo, vediamo immediatamente una pic- 
cola porzione di codice che ci consente di comprendere meglio co- 
me attuare questa fase (tralasciamo per ora la dichiarazione delle 
variabili in testa allo script): 

Utente = "CN=Administrator,CN=Users,dc=MyDomain,dc=it" 
Password = " " 

Set objConn = CreateObject("ADODB.Connection") 
objConn. Provider = "ADSDSOObject" 



objConn.Open "".Utente, Password 



'Controlla l'esito dell'autenticazione 
If objConn. State = adStateOpen Then 

WScriptEcho "Connection OK!" & vbCrlf 
Else 

WScriptEcho "Connection NOTOK!" 
WScript.Quit(1) 
End If 

Come si può facilmente intuire, le istruzioni prima della sezione trat- 
teggiata, non fanno altro che dichiarare il nome utente e la pas- 
sword da utilizzare nella connessione che sfrutteremo successiva- 
mente attraverso il metodo Open() dell'oggetto ADODB. 
Connection. Inutile sottolineare anche che l'oggetto ADSDSOObject 
è l'oggetto che prima avevamo chiamato ADSI OLE DB Provider. 
A questo punto, se tutto è andato bene, abbiamo finalmente stabi- 
lito la connessione al DB di Active Directory. 
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Non ci resta che interrogarlo, con i metodi opportuni. 



5.12 QUERY VERSO AD 

Adesso arriva certamente la parte più interessante di questo capitolo 
ossia il modo attraverso il quale formulare una query qualunque. 
Partiamo innanzitutto da quello che vogliamo ottenere. Immaginia- 
mo di voler elencare tutti gli elementi del dominio ossia ottenere la 
seguente lista: 



jfn AD - [Console Roof.Active Directory 



"^jj] Console Window Help 


Action View Favorites 


J 4? ■+ 






Tree | Favorites ] 




^] Console Root_ 




S-^Io Actiye'Directory DomàfRS 


and Trust: 


EtJ- Arfive Directory Sites an 


ixServices 


□■■^S^ctive Directory Users and Ògmput( 


fw4VJ?1YDOMMN.ITM| 




/ TI _J Builtin 




/ H-GH Computers 




El"{^] Domain Controller 


Él --dl ForeignSecurityPrincipals 1 


l Él Q LostAndFound 




\ É OU1 




\ m-§Si OU2 




\ E1- -GII System 




\L-Q U5 ers 




il 1 





3 



'1 



Figura 10: 1 container dell'oggetto MyDomain.it 



Per ottenere questa lista, la nostra query deve equivalere a qualco- 
sa del tipo: "cercami tutti gli oggetti che si trovano all'interno del 
contenitore MYDOMAIN.IT, senza elencare il contenuto di ciascuno 
e mostrami nome e stringa ADSPath". 

Ecco la stringa equivalente a quanto richiesto, ma scritta secondo 
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la sintassi riconosciuta da ADO/ADSI: 

"<LDAP://dc=MyDomain,dc=it>;;Name,ADSPath;Onelevel" 

La stringa che identifica la query precedente,come si può "vedere", 
è composta da quattro parti, separate ciascuna dal carattere ';': 

• Base della ricerca: identifica il punto di partenza da dove 
verrà avviata la ricerca. Nel nostro caso si parte dalla radi- 
ce del dominio d'esempio Mydomain.it; 

• Criteri filtro: qui vengono impostati i criteri per filtrare op- 
portunamente i valori da cercare. Nel caso appena visto, non 
sono stati impostati criteri (ossia la query ritorna tutto quel- 
lo che trova); 

• Attributi: specifica gli attributi che devono essere inclusi al- 
l'interno della tabella dei risultati (nel nostro caso, solo Na- 
nne e ADSPath); 

• Scope: questo parametro (opzionale) è molto importante 
perché specifica il raggio d'azione della query. I suoi possi- 
bili valori possono essere: 

- Base 

- OneLevel 

- SubTree 

Nel caso non venga specificato nulla, il valore di default è assunto co- 
me SubTree. 

Di seguito un disegno (figura 1 1) che mostra in maniera chiara la 
differenza tra un scope e l'altro. Volendo riportare quanto detto sot- 
toforma d'istruzione, ecco cosa va aggiunto allo script precedente 

Set objRS = objConn.Execute ( 

"<LDAP://dc=MyDomain,dc=it>;;Name,ADSPath;Onelevel") 
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BASE 




SUBTREE 



ONELEMÌL 



Figura 11: Scope di una query 



A questo punto l'oggetto objConn ci ritorna una tabella (recordset) 
di risultati che possiamo consultare come se ti trattasse di una tabella 
formata dalle due colonne Name e ADSPath. 



s 



5.13 CONSULTARE I RISULTATI 

Chi ha esperienza di programmazione in Visual Basic o, comunque, 
ha già avuto a che fare con ADO, non faticherà moto a comprende- 
re i metodi principali per muoversi all'interno di un recordset. Ecco, 
in definitiva, l'ultima parte dello script, comprendente anche la chiu- 
sura della connessione: 



While Not objRS.EOF 

Wscript.Echo objRS.Fields.ltem("Name"). 
Value 

Wscript.Echo objRS.Fields.ltem("ADSPath"). 
Value & vbCrlf 

objRS.MoveNext 
Wend 

objConn.Close 

che produce un risultato parziale simile a questo: 
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FV C:\WINNT\System32\CMD.eHe 




X 


Connection OK? 






Built in 

LDAP : //CN=Built in , DC=M¥DOMfl I N, DC=I I 






Co input e rs 

LDflP : //CN=Computers , DC=M¥D0r1tì I N, DC=I T 






Domain Contro llers 

LDA P : //OU =Do ma in Co n t iv) 1 le rs , DC =M¥ DOMA I N , DC = I T 






Fore ignSecur ityPr ine ipals 

LDfl P : //CN =Fo r e ign S e c ur it yPr in c ipa ls , DC =M¥ DOMAI N , DC = 


=11 




Inf ras truc ture 

LDtì P : //CN = I n f ras t r uc t ur e , DC =M¥ DOMA I N , DC = I T 






LostAndFound 

LDflP : //CN=Los t AndFound, DC=M¥DOMA IN,DC=IT 






0U1 

LDA P : //OU =0U 1 , DC =M¥ DOMA I N , DC = I T 






0U2 

LDtì P : //OU =0U 2 , DC =M¥ DOMA I N , DC = I T 






System 

LDflP : //CN=Sys tem, DC=M¥DOMA IN,DC=IT 






hi 1 





Figura 12: Output dello script 



Adesso abbiamo un'idea di come affrontare il problema e possia- 
mo andare un pò più nel dettaglio. 

5.14 ADO LDAP DIALECT 

La query utilizzata nello script precedente, abbiamo visto essere scrit- 
ta in una forma che "ricorda" molto la sintassi LDAP. In realtà, quan- 
do, dobbiamo costruire la stringa che identifica i nostri criteri di ricerca 
mediante ADO, conADSI possiamo utilizzare due tipi di sintassi, me- 
glio noti con il nome di dialetti (Dialect): 

• LDAP Dialect. 

• SQL Dialect. 

Ognuno di questi dialetti prevede una forma (sintassi) utile a poter 
scrivere la query che consentirà di recuperare le informazioni da Ac- 
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tive Directory. In questa sede ci concentreremo sulla prima tipolo- 
gia, l'LDAP Dialect perché la sua sintassi è meno intuibile rispetto a 
quella utilizzata dal dialetto SQL che probabilmente ognuno di noi 
conosce. Non ripetiamo quanto detto in precedenza circa la forma del- 
la generica stringa consente di ritornare il recordset con i dati della 
query, ma ci concentrermo direttamente sul secondo parametro di quel- 
la stringa, quello che avevamo denominato Criteri filtro. 
Volendolo rappresentare secondo una forma generalizzata, potremmo 
scrivere così la stringa che permette di definire questo secondo pa- 
rametro: 



<Filtro 1 xFiltro 2> ... <Filtro N> 
Il generico Filtro X è una stringa di questo tipo: 
(<operatore>(Criterio 1) (Criterio 2) ... (Criterio 3)) 



s 



Malgrado la notazione utilizzata possa essere considerata approssimativa, 
dovrebbe comunque rendere l'idea sulla forma "strana" di questa sin- 
tassi. Innanzitutto vediamo l'operatore, che va posto all'inizio e non 
tra gli elementi della query. Gli operatori booleani previsti sono tre: 



& AND 
| OR 
! NOT 



Questo significa che se vogliamo cercare oggetti che rispondono, ad 
esempio, sia a Criterio 1 che a Criterio 2 (AND), dovremo scrivere 
qualcosa del tipo: 

(& (Criteriol) (Criterio 2)) 

Stesso discorso se invece avessimo voluto cercare oggetti che ri- 
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spondono o al Criterio 1 oppure al Criterio 2 (OR): 
(| (Criterio 1) (Criterio 2)) 

Infine, se volessimo cercare oggetti, ad esempio, che rispondono a Cri- 
terio 1 e rispondono o al Criterio 2 o al Criterio 3, scriveremmo: 

(«[(Criterio 1 ) (|(Criterio 2) (Criterio 3))) 

Ora che abbiamo compreso come posizionare ciascun elemento "le- 
gato" al generico operatore e facente parte della query, dobbiamo 
vedere a cosa equivale realmente l'oggetto definito genericamente 
Criterio X. Esso può essere suddiviso in tre parti specifiche: 

<Attributo> <Operatore di comparazione> <Valore> 

dove: 

• Attributo: nome dell'attributo degli oggetti di Active Direc- 
tory da considerare; 

• Operatore di comparazione: Active Directory riconosce sol- 
tanto tre operatori ossia =, >= e <= che non credo abbia- 
no bisogno di spiegazioni; 

• Valore: ovviamente rappresenta il valore dell'attributo che 
deve essere utilizzato come criterio di ricerca. Per poter co- 
struire la corretta stringa che identifica il valore da cercare, 
è possibile utilizzare anche l'operatore '*' che ci consente di 
rintracciare valori che iniziano, finiscono o contengono una 
certa stringa. Ad esempio: 

• cn=Fra* Tutti gli oggetti che posseggono l'attributo 

cn che inizia per Fra; 

• cn=*Fra* Tutti gli oggetti che posseggono l'attributo 
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cn che contien Fra; 
• cn=*Fra Tutti gli oggetti che posseggono 

l'attributo cn che finiscono per Fra; 

Oltre a questo, possiamo utilizzare anche altri caratteri speciali ed in 
particolare il carattere 'V che, può essere seguito dal valore esade- 
cimale (espresso con 2 cifre) di un carattere qualunque, consente di 
rappresentarlo. 

Ad esempio "\28ABC\29" equivale a "(ABC)". 
Adesso, alla luce di quanto appena detto sinora, mostriamo lo script 
precedente, completo anche nel secondo parametro. 
Per ipotesi, stiamo supponendo di voler ricercare tutti gli oggetti 
marcati come container del dominio (ricordiamo che il test lo si fa con- 
trollando l'attributo objectClass e vedendo se equivale a 'contai- 
ner' o 'organizationalUnit'. 

Option Explicit 

Const adStateOpen = 1 

Dim objConn 

Dim objRS 

Dim Utente 

Dim Password 

Dim Object 

Imposta l'utente e la password per la connessione 

Utente = "CN=Administrator,CN=Users,dc=MyDomain,dc=it" 
Password = " " 

Crea l'oggetto ADO Connection ed apri la connessione con utente e 
password 



Set objConn 



= CreateObject("ADODB.Connection") 
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objConn. Provider = "ADSDSOObject" 
objConn.Open "".Utente, Password 

Controlla l'esito dell'autenticazione 

If objConn. State = adStateOpen Then 

WScript.Echo "Connection OK!" & vbCrlf 
Else 

WScriptEcho "Connection NOT OK!" 
WScript.Quit(1) 
End If 

Elenca tutti i container e le Organizational Unit 

Set objRS = objConn. Execute ("<LDAP://dc=MyDomain,dc=it>; _ 

(|(objectClass=container)(objectClass=organizationalunit)); 

Name,ADSPath;OneLevel") 

Scorri gli elementi del Recordset sino alla fine 

While Not objRS.EOF 
Wscript.Echo objRS.Fields.ltem("Name").Value 
Wscript.Echo objRS.Fields.ltem("ADSPath").Value & vbCrlf 
objRS.MoveNext 

Wend 

objConn. Close 

LISTATO 10 Script per ottenere l'elenco di Container e OU 

Considerando lo script appena esposto, aggiungiamo ancora qual- 
che piccolo dettaglio: 



• Se per distrazione inserissimo uno spazio tra objectClass e 
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'=', il risultato sarebbe diverso dal previsto, come se quel- 
l'uguaglianza non esistesse. Pertanto occorre prestare at- 
tenzione a questo genere di errori perché spesso, casi come 
questo, fanno perdere molto tempo. 
• Nell'esempio proposto abbiamo considerato una querry 
scritta secondo il dialetto LDAP. A titolo di curiosità mo- 
striamo l'equivalente stringa scritta in linguaggio SQL like e 
sicuramente meno ostica della precedente: 



'Set objRS = objConn.Execute 
("SELECT Name, ADsPath FROM 

'LDAP://dc=MyDomain,dc=it' WHERE ObjectClass ='Container' OR 
ObjectClass='OrganizationalUnit"'). 

• Nello script ci accontentiamo semplicemente di leggere i ri- 
sultati riportati all'interno del recordset, senza modificarne 
alcuno. Ecco una semplice istruzione che, inserita all'inter- 
no del ciclo FOR...NEXT che scorre il recordset permette di 
"agganciare" ciascun item e modificarlo con i metodi visti 
nei precedenti capitoli: 



Set Object = GetObject(objRS.Fields.ltem("ADSPath").Value) 



5.15 L'OGGETTO COMMAND 

I metodi visti in precedenza per recuperare informazioni da Active Di- 
rectory con ADO non sono gli unici o, perlomeno, non sono tutti 
uguali a quello visto. 

All'inizio abbiamo accennato circa l'esistenza, all'interno dell'Object 
Model di ADO, di un oggetto denominato Command. 
Attraverso i metodi e le proprietà di questo oggetto, possiamo pas- 
sare ad una connessione già attiva, diversi comandi e molto di più. 
A titolo d'esempio, mostriamo brevemente la prima parte dello script 
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precedente all'interno del quale abbiamo modificato il dialetto uti- 
lizzato e mostriamo l'utilizzo del metodo Open dell'oggetto Re- 
cordset: 

Set objRS = Create0bject("ADODB.Recordset") 
strQuery = "SELECT Name, ADsPath FROM ' 
LDAP://dc=MyDomain,dc=it' WHERE ObjectClass ='Container' 
OR ObjectClass='OrganizationalUnit' " 

objRS.ActiveConnection = objConn 

' Elenca tutti I container e le Organizational Unit 
objRS.Open strQuery, objConn 

Se lanciamo lo script precedente a quello appena mostrato, con le mo- 
difiche che abbiamo appena visto, noteremo che i risultati mostrati 
sono l'elenco di tutti gli oggetti ritrovati a partire dalla Search Base 
specificata. In realtà, esiste un metodo per specificare ulteriori parametri 
alla nostra query utilizzando l'oggetto Command di ADO, incluso il 
numero di elementi che deve ritornare. 
L'oggetto Command possiede diverse proprietà. Tuttavia, quelle che 
di solito vengono utilizzate più di frequente sono: 

• Sort on: in Active Directory consente di definire un attribu- 
to che servirà all'ordinamento dei risultati; 

• Size limit: valore intero che definisce il numero di elementi 
da ritornare; 

• SearchScope: identifica il tipo di ricerca da effettuare (Base, 
OneLevel o SubTree) ed è rappresentato dalle seguenti co- 
stanti: 

-ADS_SCOPE_BASE = 0 
-ADS_SCOPE_ONELEVEL= 1 
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- ADS_SCOPE_SUBTREE = 2 



• Timeout: specifica il tempo (espresso in secondi) che il client 
deve attendere prima di decidere di terminare la ricerca 

A questo punto, mostriamo la porzione di codice equivalente al pre- 
cedente, ma modificata utilizzando l'oggetto Command: 

Set objConn = CreateObject("ADODB.Connection") 
objConn.Provider = "ADSDSOObject" 
objConn.Open "".Utente, Password 



Crea l'oggetto Command e "legalo " all'oggetto Connection prece- 
dente 

.1 

Set objCommand = CreateObject("ADODB.Command") 
Set objCommand.ActiveConnection = objConn 



Imposta la stringa della query e, di conseguenza, la proprietà Com- 
mandText 

strQuery= "SELECT Name, ADsPath FROM 'LDAP: 
//dc=MyDomain,dc=it"' &_ 



"WHERE ObjectClass ='Container' OR ObjectClass='OrganizationalUnit'" 
objCommand. CommandText = strQuery 



Elenca tutti i container e le Organizational Unit 



Set objRS = objCommand. ExecuteQ 



Da quello che si può dedurre, quindi, il risultato è pressocchè equi- 
valente. Vediamo, in definitiva, lo script completo e modificato in- 
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troducendo anche i nuovi "controlli" sui risultati. 

Option Explicit 

Const adStateOpen = 1 

Const ADS_SCOPE_BASE = 0 
Const ADS_SCOPE_ONELEVEL = 1 
Const ADS_SCOPE_SUBTREE = 2 

Imposta a 10 gli elementi da ritornare 

Const ItemReturned = 10 

Dim objConn 

Dim objRS 

Dim Utente 

Dim Password 

Dim Object 

Dim strQuery 

Dim objCommand 

Imposta l'utente e la password per la connessione 

Utente = "CN=Administrator, 
CN=Users,dc=MyDomain,dc=it" 
Password = " " 

Crea l'oggetto ADO Connection ed apri la connessione con utente e 
password 

Set objConn = CreateObject("ADODB.Connection") 
objConn.Provider = "ADSDSOObject" 
objConn. Open "".Utente, Password 
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Controlla l'esito dell'operazione di connessione 

Controlla l'esito dell'autenticazione 
If objConn. State = adStateOpen Then 

WScriptEcho "Connection OK!" & vbCrlf 
Else 

WScriptEcho "Connection NOTOK!" 
WScript.Quit(1) 
End If 



Crea l'oggetto Command e "legalo " all'oggetto Connection prece- 
dente 

Set objCommand = CreateObjectfADODB.Command") 
Set objCommand.ActiveConnection = objConn 

Imposta le proprietà dell'oggetto Command 



3 



strQuery = 

"SELECT Name, ADsPath FROM 'LDAP: 
//dc=MyDomain,dc=it"' &_ 

"WHERE ObjectClass ='Container' 
OR ObjectClass='OrganizationalUnit' " 
objCommand. CommandText = strQuery 
objCommand. PropertiesfSort on") = "Name" 
objCommand. PropertiesfSize Limit") = ItemReturned 
objCommand.PropertiesC'SearchScope") = ADS_SCOPE_SUBTREE 



Elenca tutti i container e le Organizational Unit 
Set objRS = objCommand. Execute() 



Scorri gli elementi del Recordset sino alla fine 
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While Not objRS.EOF 

Wscript.Echo objRS.Fields.ltem("Name").Value 
Wscript.Echo objRS.Fields.ltem("ADSPath").Value & vbCrlf 
Set Object = GetObject(objRS.Fields.ltem("ADSPath").Value) 

FA QUALCOSA CON L 'OGGETTO, POI PASSA AL SUCCESSIVO. . . 

objRS.MoveNext 
Wend 

Chiudi la connessione e "distruggi " gli oggetti creati 

objConn.Close 
Set objCommand = Nothing 
Set objRS = Nothing 
Set Object = Nothing 

LISTATO 1 1 Script dì ricerca con ADO 

5.16 ALCUNI CONSIGLI 

All'inizio di questo capitolo, quando abbiamo visto come definire 
una generica query su Active Directory, abbiamo detto che la gene- 
rica stringa che indicava i parametri della ricerca, era composta al 
massimo da quattro parametri. 

In realtà, esiste un ulteriore parametro che possiamo indicare al suo 
interno migliorando la gestione delle ricerche qualora, tra i parame- 
tri richiesti, ci siano anche attributi multivalore. 
Il nome di questo parametro è Range Limit e, se specificato, occupa 
la penultima posizione all'interno della stringa che definisce la query. 
In definitiva, essa assumerebbe la seguente forma: 

Search Base; Search Filter; Attributes List; Range Limit; Scope 
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La forma generale di un Range Limit è la seguente: 



<Nome Attributo>;Range=range 



Facciamo a questo proposito un esempio generico che ci consenta di 
capire meglio quanto appena affermato e facciamolo considerando 
l'attributo member che elenca i nomi dei componenti di un certo 
gruppo, limitando ai primi 100 gli elementi ritornati: 

"<LDAP://cn=Users,dc=MyDomain,dc=com>; 
(objectCategory=group);member;Range=0-99;Base" 

Ecco.in definitiva, il listato completo di uno script che elenca i primi 
10 membri di ogni gruppo trovato a partire da dalla Search Base 
cn=Users,dc=MyDomain,dc=it.. 



Option Explicit 

Const adStateOpen = 1 

Const ADS_SCOPE_BASE = 0 

Const ADS_SCOPE_ONELEVEL = 1 

Const ADS_SCOPE_SUBTREE = 2 

Const ItemReturned = 100 



Dim objConn 
Dim objRS 
Dim Utente 
Dim Password 
Dim ListaMembri 
Dim strQuery 
Dim objCommand 
Dim Membro 



Imposta l'utente e la password per la connessione 
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Utente = "CN=Administrator,CN=Users,dc=MyDomain, 
dc=it" 

Password = " " 

Set objConn = CreateObject("ADODB.Connection") 
objConn.Provider = "ADSDSOObject" 
objConn.Open "".Utente, Password 

Controlla l'esito dell'operazione di connessione 

If objConn. State = adStateOpen Then 

WScript.Echo "Connection OK!" & vbCrlf 
Else 

WScript.Echo "Connection NOTOK!" 
WScript.Quit(1) 
End If 

Crea l'oggetto Command e "legalo" all'oggetto Connection prece- 
dente 

Set objCommand = CreateObject("ADODB.Command") 
Set objCommand.ActiveConnection = objConn 

Imposta le proprietà dell'oggetto Command 

strQuery = 

"<LDAP://cn=Users,dc=MyDomain,dc=it>; 

(ObjectCategory=group); 

Name, 

member; Range=0-9" 

objCommand. CommandText = strQuery 

objCommand. Properties("Sort on") = "Name" 

objCommand. Properties("Size Limit") = ItemReturned 

objCommand.PropertiesC'SearchScope") = ADS_SCOPE_SUBTREE 
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Elenca tutti membri di ogni gruppo trovato 

Set objRS = objCommand.ExecuteO 

Scorri gli elementi del Recordset sino alla fine 

While Not objRS.EOF 
Wscript.Echo objRS.Fields.ltem("Name").Value 



ATTENZIONE: Il campo con ìndice 2 non è member, ma equivale 
esattamente alla stringa 

member;Range=0-9 

ossia l'intera stringa Range Limit 

ListaMembri = objRS.Fields(1).Value 

Se non ci sono membri. . . 

On Errar Resumé Next 

For each Membra In ListaMembri 

Wscript.Echo " — ->" & Membro 
Next 

objRS.MoveNext 
Wend 



Chiudi la connessione e "distruggi " gli oggetti creati 



objConn.Close 

Set objConn = Nothing 

Set objRS = Nothing 

Set objCommand = Nothing 



LISTATO 12 Dimostrazione dell'uso del parametro Range Limit 
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Per poter utilizzare il Range Limit con esito positivo, occorre tener 
presente, però, che tutti quegli attributi che posseggono un nume- 
ro di elementi inferiore al numero massimo stabilito, non vengono con- 
siderati. Mostriamo un esempio forse più chiaro di tante parole. Sup- 
poniamo di avere solo 4 gruppi denominati Gruppo 1, Gruppo2, Grup- 
po3 e Gruppo4, ciascuno contenente un numero di elementi pari ri- 
spettivamente a 1, 2, 3 e 4. 

Indichiamo nella prima colonna della tabella che segue i range sta- 
biliti (supponendo di averli modificati di volta in volta nello script 
precedente) e vediamone i risultati ossia quanti elementi lo script 
mostrerà a video:0 



Gruppo 


N. Membri 


0-1 


0-2 


0-3 


Gruppo 1 


1 


# 


# 


# 


Gruppo 2 


2 


# 


# 


# 


Gruppo 3 


3 


2 


# 


# 


Gruppo 4 


4 


2 


3 


# 



Tabella 13: Corrispondenze tra Range Limit e risultato visualizzato 



Quello che viene mostrato, dunque, è certamente il numero di ele- 
menti indicati dal massimo valore del range + 1, ma prendendo in 
considerazione soltanto i gruppi che contengono membri in nume- 
ro superiore. 

Un ulteriore accorgimento che occorre tener presente riguarda le 
performance legate ad una generica query. 
Quando avviamo una ricerca all'interno di Active Directory, quello 
che va ricordato sempre è che trattasi di una query avviata in un 
ambiente "ricco" di oggetti e, se la stringa che la definisce non è 
impostata correttamente, occorrerà attendere parecchio per veder- 
ne i risultati. 

A questo proposito avevamo visto anche come pilotare qualche pa- 
rametro che poteva influenzare le nostre ricerche, attraverso le pro- 
prietà dell'oggetto Command, ma l'accorgimento migliore è chia- 
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ramente all'interno della stringa che definisce i criteri di ricerca. 
Ecco alcuni semplici e noti consigli a tal proposito: 

• Utilizzare un solo attributo indicizzato per query. L'esempio 
classico è objectCategory (del quale parleremo fra poco). 
Per poter vedere se un attributo è indicizzato oppure no, 
possiamo utilizzare MMC come mostrato di seguito. 



„>-.H^.i,u.!iJ-i.i.m : ijj.'. i J.ii;jjj,ii'^j,ii„uiij..nra 



insole Windo' 
View Fav 



avorites | 



ole Root 
ictive Directory 
g| Classes 
J Attributes 



objectCategory Properties 



General j 



objectCategory 



I Show objects of this class while browsing 

rjÌ££sù Wc th ii , .a ttrib uì. 

V Index this attribute in the Àctive Directory. 



1^ Replicate this attribute to the Global Catalog. 

V Attribute is copied when duplicating a user. 



Description: 




Common Name: 


jDbject-Category 


X.500 0ID: 


|1.2.S40.113556.1.4.782 


- Syntax and Flange- 




Syntax: 


J Distinguished Name 


Minimum: 


I 


Maximum: 


I 


This attribuì is singie-valued 



Apply 



Figura 13: Un tipico errore non gestito dall'applicazione. 



• Cercare di utilizzare sempre combinazioni di objectCategory 
ed objectClass nelle proprie query. Il primo è a singolo valore 
ed indica proprio la tipologia dell'oggetto (persona, con- 
tatto, computer, ecc.). Il secondo è multivalore e contiene 
tutte le classi a cui appartiene quell'oggetto (si tenga a men- 
te il fatto che una generica classe all'interno dello schema 
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è la risultante di altre classi dalle quali è stata derivata). Per- 
tanto la combinazione di uesti due attributi può esserci uti- 
le a restringere maggiormente il campo d'azione della query. 

• Laddove possibile limitare la stringa relativa al confronto. 
Ad esempio, se c'interessano tutti i gruppi che iniziano con 
Grp è inutile fare qualcosa del tipo (Name= GrpTestLocaM 
OR Name= GrpTestLocal2, ecc.). Utilizzare forme simili a 
Name=Grp*. 

• Impostare sempre i giusti parametri relativi allo scope del- 
la ricerca e al limite massimo di elementi da recuperare che 
ci interessano realmente. 

• L'oggetto Recordset possiede anch'esso una proprietà Fil- 
ter (chi ha già utilizzato ADO lo saprà certamente) che può 
tornarci utile per filtrare i risultati 

Un ultimo piccolo consiglio: quando definiamo un oggetto Connec- 
tion all'interno di uno script, a meno che non sia strettamente necessario, 
sfruttiamo sempre lo stesso anche per ricerche successive e distrug- 
giamolo solo al termine. 

Stesso discorso per l'oggetto Command. Questo piccolo accorgi- 
mento può aiutarci a gestire meglio le risorse aumentando anche i 
tempi di risposta del nostro programma. 
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Siamo finalmente giunti alla terza ed ultima parte di questo libro. 
Non è certamente un mistero il fatto che su tantissimi argomenti era 
necessario più spazio o che tanti altri sono stati, volutamente, tralasciati 
per dar spazio ad argomenti diversi. 

Tuttavia chiunque si avvicini a questo nuovo mondo avrà certamen- 
te incontrato qualche difficoltà in meno nella comprensione dei ca- 
pitoli precedenti, perché si è tentato di privilegiare la chiarezza a 
scapito della quantità di argomenti trattati. I capitoli che sinora so- 
no stati letti dovrebbero aver reso l'idea di quanto giri attorno al 
servizio di directory di Windows 2000 ed al mondo della programmazione 
mediante ADSI e dovrebbero aver fornito a tutti le basi e gli stru- 
menti necessari per poter lavorare con essi. 
Naturalmente, come qualunque argomento di questa complessità, va 
approfondito ulteriormente leggendo la documentazione inerente 
e provando, facendo test. 

Ed è proprio per questi motivi che in quest'ultima parte abbiamo vo- 
luto dar spazio all'aspetto prettamente pratico, raccogliendo diver- 
si script che potranno essere d'esempio e d'utilità ad ognuno di voi. 
Per ciascun listato, laddove si è ritenuto necessario, sono state aggiunte 
delle annotazioni/spiegazioni a compendio di quanto già descritto at- 
traverso il codice ed i commenti in essi contenuti. 



Listato 1. - Elencare i Namespace 
supportati 

Option Explicit 



Dim objADS 

Dim objADSChild 

Set objADS = GetObject("ADS:") 

Per ogni namespace trovato. . . 
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For Each objADSChild in obj'ADS 
WScript.Echo objADSChild.Name 

Next 

Distruggi gli oggetti 

Set objADS = Nothing 
Set objADSChild = Nothing 

Listato 2. - Elencare le proprietà 
dell'oggetto RootDSE 

Option Explicit 
Dim objDSE 
Dim Cont 
Dim pCont 
Dim strPropName 
Dim objPropEntry 
Dim varPropValue 
Dim objPropValue 

Bìnding all'oggetto RootDSE 

Set objDSE = GetObject("LDAP://rootDSE") 
objDSE.Getlnfo 

WScript.Echo "> ELENCO PROPRIETÀ' 
[" & objDSE.PropertyCount & "] 
DI ROOTDSE. <" SvbOLf 

Per tutte le proprietà rilevate, fa vedere i valori attuali. 
NB: Alcune proprietà sono, in realtà, degli array. 
Questo rende necessario il secondo ciclo FOR. 
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For Cont = 0 To objDSE.PropertyCount - 1 
pCont=1 

Set objPropEntry = objDSE.Item(Cont) 
strPropName = objPropEntry.Name 

WScript.Echo " 

WScript.Echo "- "& strPropName 
WScript.Echo " 



For Each objPropValue In objPropEntry. Values 



WScriptEcho pCont & ") " & 
objPropValue.GetObjectProperty(objPropEntry.ADsType) 
strPropName = vbNull 
pCont = pCont+1 

Next 

Wscript.Echo vbCrLf 
Next 



s 



Distruggi gli oggetti 



Set objDSE = Nothing 

Set objPropEntry = Nothing 

Set objPropValue = Nothing 



Listato 3. - Identificare la modalità 
di dominio 



Option Explicit 
Dim objDSE 
Dim strLDAP 
Dim objDomain 
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Binding al dominio 

Set objDSE = GetObject("LDAP://rootDSE") 
strLDAP = 

"LDAP://" & objDSE.GetC'defauItNamingContext") 
Set objDomain = GetObject(strLDAP) 

Controlla se il dominio è in modalità MIXED o NATIVE 

If objDomain. Get("nTMixedDomain") > OThen 
Wscript.Echo "La modalità del dominio è MIXED." 

Togliendo il commento alle due istruzioni successive, possiamo 
passare dalla modalità MIXED a quella NATIVE (irreversibile). 

objDomain. Put "nTMixedDomain", 0 
' objDomain.Setlnfo 
Else 

Wscript.Echo "La modalità del dominio è NATIVE" 
End if 

Distruggi gli oggetti 

Set objDSE = Nothing 
Set objDomain = Nothing 

Listato 4. - Visualizzare lo stato 
del Global Catalog 

Option Explicit 
Dim objRootDSE 

Set objRootDSE= GetObject("LDAP://RootDSE") 

Wscript.Echo "Stato GC: " & objRootDSE.Getf'isGlobalCatalogReady") 
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Distruggi gli oggetti 
Set objRootDSE = Nothing 

Listato 5. - Creare un nuovo utente 

Questo script crea un nuovo utente senza metterlo in alcun gruppo. 
Per poter avviare lo script correttamente, lanciare CSCRIPT <Nome 
Script> <Nome utente da creare> <Password>. 



Option Explicit 
Dim objDSE 
Dim strDefaultDN 
Dim objContainer 
Dim strName 
Dim strPass 
Dim objUser 

Controlla se sono stati inseriti i parametri 

If Wscript.Arguments.count <> 2 Then 
Wscript.Echo "Il numero di parametri inseriti è errato" 
Wscript.Echo "Lanciare lo script con i parametri 

<NomeUtente> 
<Password>" 
Wscript.Quit 

End If 



Memorizza i parametri passati per utilizzarli in seguito 



strName = Wscript.arguments(O) 
strPass = Wscript.arguments(1 ) 



Effettua il binding alla mot del dominio 
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Set objDSE = GetObject("LDAP://rootDSE") 
strDefaultDN = 

objDSE. Get("defaultNamingContext") 
msgbox strDefaultDN 

Set objContainer = GetObject("LDAP://" & strDefaultDN) 

Crea innanzitutto l'utente. . . 

Set objUser = objContainer.Create("user", "CN=" & strName) 

imposta alcuni parametri (i primi 2 sono essenziali) 

objUser.Put "sAMAccountName", strName 
objllser.Put "userAccountControl", &H200 
objUser.Put "description", 
"Questo è un nuovo utente" 

Salva i dati e successivamente imposta la password 

objUser.Setlnfo 

NB: L 'impostazione della pwd avviene solo DOPO aver effettuato 
una commit sui precedenti dati 

' Imposta la password 

objUser.SetPassword (strPass) 

Distruggi gli oggetti 

Set objUser = Nothing 
Set objContainer = Nothing 
Set objDSE = Nothing 
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Listato 6.- Disabilitare un utente 

Questo script disabilita un utente che per ipotesi si trova sotto il con- 
tenitore Users. 

Option Explicit 
Dim objUsr 
Dim strName 
Dim FlagUAC 
Dim Arg 

Const AD5_UF_ACC0UNTDISABLE = 2 
Const ABILITA = 1 
Const DISABILITA = 0 

Controlla se sono stati inseriti i parametri 

If Wscript.Arguments.count <> 2 Then 
Wscript.Echo "Il numero di parametri inseriti è errato" 
Wscript.Echo "Lanciare lo script con i parametri <NomeUtente> <0/1>" 
Wscript.Echo "0 = DISABILITA" 
Wscript.Echo "1 = ABILITA" 
Wscript.Quit 

End If 

Memorizza il nome dell'utente e l'operazione da effettuare 

strName = Wscript.arguments(O) 
Arg = Wscript.Arguments(l) 

Crea l'oggetto relativo all'utente da disabilitare 

Set objUsr = GetObject("LDAP://CN= 

" & strName & ",CN=Users,DC=IVIyDomain,DC=it") 

FlagUAC = objUsr.Get("userAccountControl") 
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Imposta l'operazione da effettuare in base al secondo parametro 

Select Case int(Arg) 
Case ABILITA 

1) Metodo... 

objUsr.Put "userAccountControl", FlagUAC AND ABILITA 

2) Metodo. .Togliere i commenti e metterli all'istruzione precedente 
per usare questo metodo (Interfaccia lADsUser) 

objUsr.AccountDisabled = FALSE 
Case DISABILITA 

1) Metodo 

objUsr.Put "userAccountControl", 
FlagUAC OR ADS_UF_ACCOUNTDISABLE 

2) Metodo. .Togliere i commenti e metterli all'istruzione precedente 
per usare questo metodo (Interfaccia lADsUser) 

objUsr.AccountDisabled =TRUE 
End Select 

Memorizza le nuove impostazioni 
objUsr.Setlnfo 

Distruggi l'oggetto objUsr 
Set objUsr = Nothing 
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Listato 7.- Unlock di un utente 



Option Explicit 
Dim objUsr 
Dim FlagUAC 



La costante che permette d'impostare il bit relativo al lock dell'u- 
tente è ConstADS_UF_LOCKOUT= &H00W, che in binario equivale 
a 10000. 

Per sbloccare l'utente, quindi, è necessario effettuare un AND logi- 
co tra userAccountControl ed il valore &H15, equivalente al valore 
binario 01 ili. 

Const UNLOCK = &H15 

Modificare la stringa di binding in base all'utente 



s 



Set objUsr = 

GetObject("LDAP://CN=UtenteLocked,CN=Users, 
DC=MyDomain,DC=it") 
FlagUAC = objUsr.Get(" userAccountControl") 



1) Metodo... 



objUsr.Put "userAccountControl", FlagUAC AND UNLOCK 



2) Metodo.Jogliere i commenti e metterli all'istruzione precedente 
per usare questo metodo 



objUsr.lsAccountLocked = FALSE 
objUsr.Setlnfo 



Distruggi l'oggetto 
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Set objUsr = Nothing 

Listato 8.- Elencare gli utenti disabilitati 

In questo listato vengono elencati gli utenti disabilitati sfruttando il 
binding "solito" che sfrutta il security context dell'utente che sta av- 
viando lo script (correntemente autenticato al dominio). Nel listato 
successivo è mostrata la prima parte di questo script opportuna- 
mente modificata per mostrare come utilizzare il metodo OpenD- 
SObject, specificando credenziali diverse. 

Option Explicit 

ConstADS_UF_ACCOUNTDISABLE = 2 

ConstADS_SCOPE_BASE = 0 

Const ADS_SCOPE_ONELEVEL = 1 

ConstADS_SCOPE_SUBTREE = 2 

Const PageSize = 100 

Const Timeout = 30 

Const CacheRes = False 

Dim objRootDSE 

Dim objConnection 

Dim objCommand 

Dim objRS 

Dim strQuery 

Dim FlagUAC 

Dim NroAccountLocked 

NroAccountLocked = 0 

Binding al dominio 

Set objRootDSE = GetObject("LDAP://rootDSE") 

Creazione dell'oggetto Connection per la query con ADO 

Set objConnection = CreateObject("ADODB.Connection") 
objConnection. Open " Provider=ADsDSOObject; " 
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Creazione dell'oggetto Command 
Set objCommand = CreateObject("ADODB.Command") 

Imposta i parametri utili all'oggetto 

strQuery = "SELECT distinguishedName, userAccountControl, 
Name FROM 'LDAP://" & 
objRootDSE.GetC'defauItNamingContext") 
& & " WHERE objectCategory='User'" 
objCommand. CommandText = strQuery 
objCommand.ActiveConnection = objConnection 
objCommand. Properties(" Page Size") = PageSize 
objCommand.PropertiesC'SearchScope") = ADS_SCOPE_5UBTREE 
objCommand. Properties("Timeout") = Timeout 
objCommand. Properties(" Cache Results") = CacheRes 

Avvia la query 

Set objRS = objCommand. Execute 
Leggi i risultati 

Do Until objRS.EOF 

FlagUAC = objRS.Fields(" userAccountControl") 
If FlagUAC AND ADS_UF_ACCOUNTDISABLE Then 
NroAccountLocked = NroAccountLocked + 1 
WScript.Echo NroAccountLocked & ") 
" & objRS.Fields("Name") & " è disabilitato" 
End If 

objRS.MoveNext 
Loop 

WScript.Echo VbCrLf & 
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"Il totale degli account rilevati è " & NroAccountLocked 

Chiudi la connessione 
objConnection.Close 

Distruggi gli oggetti 

Set objRootDSE = Nothing 
Set objConnection = Nothing 
Set objCommand = Nothing 
Set objRS = Nothing 

Listato 9.- Elencare gli utenti disabilitati 
(con autenticazione) 

Option Explicit 

Const ADS_UF_ACCOUNTDISABLE = 2 

ConstADS_SCOPE_BASE = 0 

Const ADS_SCOPE_ONELEVEL = 1 

Const ADS_SCOPE_SUBTREE = 2 

Const PageSize = 1 00 

Const Timeout = 30 

Const CacheRes = False 

Dim objRootDSE 

Dim objConnection 

Dim objCommand 

Dim Utente 

Dim Password 

Dim objRS 

Dim strQuery 

Dim FlagUAC 

Dim NroAccountLocked 
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Costanti utili per OpenDSObject 



Const AD5_SECURE_AUTHENTICATI0N = &H1 



Const ADS_USE_ENCRYPTION 


= &H2 


Const ADS_USE_SSL 


= &H2 


Const ADS_READONLY_SERVER 


= &H4 


Const ADS_PROMPT_CREDENTIALS 


= &H8 


Const ADS_NO_AUTHENTICATION 


= &H10 


Const ADS_FAST_BIND 


= &H20 


Const ADS_USE_SIGNING 


= &H40 


Const ADS_USE_SEALING 


= &H80 


Const ADS_USE_DELEGATION 


= &H100 


Const AD5_SERVER_BIND 


= &H200 


NroAccountLocked = 0 


Specifica il nome dell'utente e la password in particolare: il nome 
utente può essere specificato in diversi modi. 



Distinguished Name: 

cn=UtenteGenerico, cn=Users, dc=Mydomain, dc=it 
User Account: UtenteGenerico 

User Principal Name (UPN): UtenteGenerico@MyDomain.it 
DomainìUser: MyDomainìUtenteGenerico 



Utente = "cn=UtenteGenerico,cn=Users, 

dc=Mydomain,dc=it" 

Password = " " 



Binding al dominio con autenticazione 



Set objRootDSE = GetObjectfLDAP:") 

Set objRootDSE = objRootDSE.OpenDSObject 

("LDAP://RootDSE", Utente, Password,ADS_SECURE_AUTHENTICATION) 
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Listato 10.- Elencare i gruppi di 
appartenenza di un utente 

Questo script mostra l'elenco dei gruppi di appartenenza di un uten- 
te che si trova sotto il contenitore Users. 

Dim objRootDSE 
Dim SingleGroup 
Dim strDefaultDN 
Dim strUser 
Dim objContainer 

Controlla se è stato passato il nome dell'utente 

If Wscript.Arguments.count = 0 Then 

strUser = InputBox 
("Inserisci il nome dell'utente da controllare:") 

If strUser = " " Then WScript.Quit(l) 
Else 

strUser = Wscript.Arguments(O) 
End If 

Binding all'oggetto 

Set objRootDSE = GetObject("LDAP://rootDSE") 
strDefaultDN = ob]RootDSE.Get("defaultNamingContext") 
Set objContainer = GetObject("LDAP://CN=" & strUser & ", 
CN=Users," & strDefaultDN) 

Richiesta informazioni 

objContainer.Getlnfo 

Output dei gruppi di appartenenza 
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Wscript.Echo "Elenco dei gruppi di appartenenza" 
For Each SingleGroup in objContainer.Groups 
Wscript.Echo SingleGroup.Name 
Next 



Distruggi gli oggetti 

Set objRootDSE = Nothing 
Set objContainer = Nothing 

Listato 11.- Eliminare i gruppi 
di un utente 

Option Explicit 
On Errar Resumé Next 
Dim objUser 
Dim objGroup 
Dim arrMemberOf 
Dim Group 

Const ADS_PROPERTY_CLEAR = 1 

Const ADS_PROPERTY_DELETE = 4 

Const E_ADS_PROPERTY_NOT_FOUND = &H8000500D 



Elimina i gruppi ai quali appartiene l'utente Utente 1 

Set objUser = Get0bject("LDAP://cn=Utente1, 
cn=Users,dc=My Domain,dc=it") 
arrMemberOf = objUser.GetEx("memberOf") 

Se la proprietà non è valorizzata nella Property Cache 

If Err.Number = E_ADS_PROPERTY_NOT_FOUND Then 
WScript.Echo "Nessun elemento trovato" 
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WScript.Quit 
End If 

Per ciascun gruppo trovato, effettua il binding ed elimina l'item che 
corrisponde all'utente Utente I (fatta eccezione per il Primary Group) 

For Each Group In arrMemberOf 
Set objGroup = GetObjectfLDAP://" & Group) 
objGroup.PutEx ADS_PROPERTY„DELETE, "member", 
Array(" cn=Utente1,cn=Users,dc=MyDomain,dc=it") 

objGroup.Setlnfo 
Next 

Distruggi gli oggetti 

Set objUser = Nothing 
Set objGroup = Nothing 

Listato 12.- Elencare tutti gli utenti che 
iniziano con un certo prefisso 

Option Explicit 
Dim objRootDSE 
Dim strDomainDN 
Dim objConnection 
Dim objCommand 
Dim strQuery 
Dim objRS 
Dim Cont 
Dim Prefix 

ConstADS_SCOPE_BASE = 0 
Const ADS_SCOPE_ONELEVEL = 1 
Const ADS_SCOPE_SUBTREE = 2 
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Const PageSize = 100 
Const Timeout = 30 
Const CacheRes = False 

Criterio che il CN dell'utente deve soddisfare 

Prefix = "Francesco*" 

Bìndìng all'oggetto RootDSE 

Set objRootDSE = GetObject("LDAP://rootDSE") 
strDomainDN = objRootDSE. Get("defaultNamingContext") 

Crea l'oggetto Connection 

Set objConnection = CreateObjectfADODB.Connection") 
objConnection. Provider = "ADsDSOObject" 
objConnection. Open 

Crea l'oggetto Command 

Set objCommand = CreateObjectfADODB.Command") 
Set objCommand.ActiveConnection = objConnection 

Imposta la query 

strQuery = "SELECT cn FROM 'LDAP://" & strDomainDN & 
"' WHERE objectCategory='user' AND cn='" & Prefix & 

Imposta i parametri dell'oggetto Command 

objCommand. CommandText = strQuery 
objCommand. Properties(" Page Size") = PageSize 
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objCommand.Properties("SearchScope") = ADS_SCOPE_SUBTREE 
objCommand.Properties("Timeout") = Timeout 
objCommand.Properties("Cache Results") = CacheRes 

Set objRS = objCommand.Execute 
Cont = 0 
If objRS.EOFThen 

WScript.Echo "Nessun utente risponde ai criteri impostati" 
Else 

While Not objRS.EOF 
Cont = Cont + 1 

WScriptEcho Cont & ": " & objRS.Fields("cn") 
objRS.MoveNext 

Wend 
End If 

Chiudi la connessione 

objRS.CIose 
objConnection. Close 

Distruggi gli oggetti 

Set objRootDSE = Nothing 
Set objConnection = Nothing 
Set objCommand = Nothing 
Set objRS = Nothing 

Listato 13.- Creare un gruppo e inserire 
un utente 

Option Explicit 
Dim objDSE 
Dim strDefaultDN 
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Dim objContainer 
Dim objGroup 

Effettua il binding al dominio 

Set objDSE = GetObject("LDAP://rootDSE") 
strDefaultDN = objDSE.Get("defaultNamingContext") 

Effettua il binding a Users 

Set objDSE = GetObject("LDAP://rootDSE") 
Set objContainer = GetObject 
("LDAP://cn=Users," & strDefaultDN) 
Set objGroup = objContainer.Create 
("Group", "cn=GruppoDiTest") 

Impostazione degli attributi necessari per la creazione del gruppo 

objGroup.Put " sAMAccountName " , " GruppoDiTest" 
objGroup.Setlnfo 

strDefaultDN = ",cn=Users," & strDefaultDN 

Inserimento dell'utente Guest 

objGroup.Put "member", 
"cn=Guest" & strDefaultDN 
objGroup.Setlnfo 

Distruggi gli oggetti 

Set objDSE = Nothing 

Set objContainer = Nothing 

Set objGroup = Nothing 
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Listato 14.- Creare un gruppo e 
assegnargli uno Scope 

Option Explicit 

Dim objRootDSE 
Dim objGroup 
Dim strDomain 
Dim objContainer 

Dim GrpTypeFlagl, GrpTypeFlag2 

Identifica i Security group, ' distinguendoli dai Distribution group 
Const ADS_GROUP_TYPE_SECURITY_ENABLED = &H8000000 
Identifica i vari tipi di gruppi che si possono creare 
Const ADS_G ROU P_TYPE_G LOBAL_G ROU P = &H2 
Global group 

Const ADS_GROUP_TYPE_LOCAL_GROUP = &H4 
Locai group 

Const ADS_GROUP_TYPE_UNIVERSAL_GROUP = &H8 
Universal group 

Imposta il flag che definisce il tipo di gruppo (Security o Distribution) 
' 0 = Distribution 
' 1 = Security 

GrpTypeFlagl = 0 

Imposta il flag che definisce il tipo di gruppo (global, locai o universal) 
GrpTypeFlag2 = ADS_G ROU P_TYPE_G LOBAL_G RO U P 

Effettua il binding al dominio 

Set objRootDSE = GetObject("LDAP://RootDSE") 
strDomain = objRootDSE. GetfdefauItNamingContext") 
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Set objContainer = GetObject("LDAP://cn=Users," & strDomain) 

Crea il gruppo ed assegnagli gli attributi obbligatori 

Set objGroup = objContainer.Create 
( "Group " , " cn=MyFirstGroup") 
objGroup.Put "sAMAccountName", 
"MyFirstGroup" 

Imposta il tipo di gruppo (scope) 

If GrpTypeFlagl = OThen 

Distribution Group 

objGroup.Put "groupType", GrpTypeFlag2 
Else 

Security Group 

objGroup.Put "groupType", GrpTypeFlag2 Or 
ADS_GROUP_TYPE_SECURITY_ENABLED 
End If 

Aggiorna le informazioni 

objGroup.Setlnfo 

Distruggi gli oggetti 

Set objRootDSE = Nothing 
Set objGroup = Nothing 
Set objContainer = Nothing 
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Listato 15.- Aggiungere altri gruppi ad 
un gruppo 

Questo script aggiunge i gruppi GrpTestl e GrpTest2 al gruppo Gr- 
pLocalTest. 

Option Explicit 

Const ADS_PROPERTY_APPEND = 3 

Dim objRootDSE 

Dim objGroup 

Dim strConfigNameContext 

Effettua il binding al gruppo GrpLocalTest 

Set objRootDSE = GetObject("LDAP://RootDSE") 
strConfigNameContext = objRootDSE. 
GetfdefauItNamingContext") 
Set objGroup = 

GetObject("LDAP://cn=GrpLocalTest,cn=Users," 
& strConfigNameContext) 

Aggiungi i due gruppi GrpTestl e Grp Test2 

objGroup.PutEx ADS_PROPERTY_APPEND, "member", 
Array( " cn=GrpTest1 ,cn=Users,dc=MyDomain, 
dc=it",_ 

"cn=GrpTest2,cn=Users,dc=MyDomain, 
dc=it") 

objGroup.Setlnfo 

Distruggi gli oggetti 

Set objRootDSE = NOthing 
Set objGroup = Nothing 
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Listato 16.- Eliminare alcuni o tutti i 
membri da un gruppo 



Option Explicit 

Const ADS_PROPERTY_CLEAR = 1 

Const ADS_PROPERTY_DELETE = 4 

Dim objRootDSE 

Dim objGroup 

Dim strConfigNameContext 



Binding al gruppo GrpLocalTest 
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Set objRootDSE = 
GetObjectf " LDAP://RootDSE ") 
strConfigNameContext = 
objRootDSE. GetfdefauItNamingContext") 
Set objGroup = 

GetObject("LDAP://cn=GrpLocalTest,cn=Users," 
& strConfigNameContext) 

Eliminazione degli item GrpTestl e GrpTest2. Per eliminare TUTTI 
gli elementi di un gruppo, utilizzare l'istruzione seguente: obj- 
Group.PutEx ADS_PROPERTY_CLEAR, "member", 0 



objGroup.PutEx ADS_PROPERTY_DELETE, "member", 
Array 



("cn=GrpTest1,cn=Users,dc=MyDomain,dc=it", _ 
"cn=GrpTest2,cn=Users,dc=MyDomain,dc=it") 



objGroup.Setlnfo 

Set objRootDSE = Nothing 

Set objGroup = Nothing 
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Listato 17.- Elencare le proprietà del 
gruppo Administrators 

Option Explicit 
Dim objDSE 
Dim Cont 
Dim pCont 
Dim strPropName 
Dim objPropEntry 
Dim objPropValue 

Const ADSTYPE_OCTET_STRING = 8 

Const ADSTYPE_LARGE_INTEGER = 1 0 

Const ADSTYPE_NT_SECURITY_DESCRIPTOR = 25 

Binding al gruppo Administrators 

Set objDSE = 

GetObject("LDAP://CN=Administrators,CN=Builtin, 

DC=MyDomain,DC=it") 

objDSE.Getlnfo 

WScript.Echo "> ELENCO PROPRIETÀ' DEL GRUPPO ADMINISTRATORS <" 
& vbCrLf 

Per tutte le proprietà rilevate, fa vedere i valori attuali. 
NB: Alcune proprietà sono, in realtà, degli array. Questo rende ne- 
cessario il secondo ciclo FOR 

For Cont = 0 To objDSE. PropertyCount - 1 
pCont=1 

Set objPropEntry = objDSE. Item(Cont) 
strPropName = objPropEntry.Name 

WScriptEcho " " 

WScript.Echo "- "& strPropName 
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WScriptEcho " " 

' Per ogni proprietà, rileva il tipo di dato 
For Each objPropValue In objPropEntry.Values 
Select Case objPropValue.ADsType 
Case ADSTYPE_OCTET_STRING 
WScript.Echo pCont & ") " & "<OCTET STRING>" 
Case ADSTYPE_LARGE_I NTEGER 

WScript.Echo pContS ") " & "<LARGE INTEGER>" 
Case ADSTYPE_NT_SECURITY_DESCRIPTOR 
WScript.Echo pCont & ") " & 
"<Security Descriptor>" 
Case Else 
WScriptEcho pCont & ") " & 
objPropValue.GetObjectProperty(objPropEntry.ADsType) 
End Select 
strPropName = vbNull 
pCont = pCont+1 

Next 

Wscript.Echo vbCrLf 
Next 



Distruggigli oggetti 

Set objDSE = Nothing 

Set objPropEntry = Nothing 

Set objPropValue = Nothing 

Listato 18.- Elencare le proprietà IAD 
di utenti e gruppi 

Questo script si prefigge come scopo di elencare a video le proprietà 
esposte dall'interfaccia lADs di tutti i gruppi principali di Windows 2000. 
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Lo script memorizza in un array questi nomi e li sfrutta per effettua- 
re il binding ad essi. Il codice mostrato, così com'è, non è ovviamente 
molto flessibile e poteva essere scritto diversamente ed in maniera 
migliore. 

Tuttavia, si è pensato che in questo modo, possa risultare più com- 
prensibile a chi ha poca confidenza con ADSL 

Option Explicit 

Dim objRootDSE, objIAD 

Dim BuiltlnUG(17) 

Dim Cont 

Dim strLDAP 

Return lADsProp 

Private Sub ReturnlADsProp 



Memorizza in un array il nome dei principali gruppi di Windows 
2000. 



BuiltlnUG(O) = 


Administrator" 


BuiltlnUG(l) = 


Cert Publishers" 


BuiltlnUG(2) = 


DnsAdmins" 


BuiltlnUG(3) = 


DnsUpdateProxy" 


BuiltlnUG(4) = 


Domain Admins" 


BuiltlnUG(5) = 


Domain Computers" 


BuiltlnUG(6) = 


Domain Controllers" 


BuiltlnUG(7) = 


Domain Guests" 


BuiltlnUG(8) = 


Domain Users" 


BuiltlnUG(9) = 


Enterprise Admins" 


BuiltlnUG(10)= 


"Group Policy Creator Owners" 


BuiltlnUG(11)= 


"Guest" 


BuiltlnUG(12)= 


"IUSR_SERVER" 


BuiltlnUG(13)= 


"IWAM_SERVER" 


BuiltlnUG(14)= 


"krbtgt" 



142 I libri di ioPROGRAMMO/Lavorare con ACTIVE DIRECTORY 



Capitolo 6 



Esempi pratici 



BuiltlnUG(15)=" RAS and IAS Servers" 
BuiltlnUG(16)="TslnternetUser" 

Effettua il binding alla mot. 

Set objRootDSE = GetObject("LDAP://rootDSE") 

Per ogni gruppo, visualizza le informazioni dell'interfaccia lADs 

For Cont = OTo 16 

Effettua il binding al gruppo 

strLDAP = "LDAP://CN= 
" & BuiltlnUG(Cont) & ",CN=Users," &_ 
objRootDSE. Get("defaultNamingContext") 
Set objIAD = GetObject(strLDAP) 

Wscript.Echo " " 

WscriptEcho "- " & BuiltlnUG(Cont) 

Wscript.Echo " " 

WScript.Echo "AdsPath:" & objlAD.AdsPath 
WScript.Echo "Class :" & objlAD.CIass 
WScript.Echo "GUID :" & objlAD.GUID 
WScript.Echo "Name :" & objlAD.Name 
WScript.Echo "Parent:" & objlAD.Parent 
WScript.Echo "Schema :" & objlAD.Schema & vbCrlf 
Next 
End Sub 

Distruggi gli oggetti 

Set objRootDSE = Nothing 
Set objIAD = Nothing 
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Listato 19.- Elencare tutte le OU 
del dominio (senza ADO) 

Option Explicit 
Dim objRootDSE 
Dim strLDAP 
Dim Object 
Dim objDomain 
Dim sClass 
Dim Recursive 

Effettua il binding al dominio 
Set objDSE = Get0bject("LDAP://rootD5E") 
strLDAP = "LDAP://" & objDSE.GetfdefauItNamingContext") 
Set objDomain = GetObject(strLDAP) 
Cali ListObject(objDomain) 
Sub ListObject(objContainer) 
Per ogni container trovato, verifica se trattasi di OU 
For Each Object In objContainer 
For Each sClass in Object.ObjectClass 
If sClass = "organizationalUnit" Then 
Wscript.Echo "Object Name : " 
& vbTab & Object.Name & vbCrLf & _ 
"Object ADSPath : " & vbTab & Object.AdsPath & vbCrLf & . 
"Object Parent : " & vbTab & Object.Parent 
ListObject(Object) 

End If 
Next 
Next 
End Sub 
' Distruggi gli oggetti 
Set objRootDSE = Nothing 
Set objDomain = Nothing 
Set Object = Nothing 
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Listato 20.- Elencare tutte le OU 
del dominio (con ADO) 

Option Explicit 

Const adStateOpen = 1 

Const ADS_SCOPE_BASE = 0 

Const ADS_SC0PE_0NELEVEL = 1 

Const ADS_SCOPE_SUBTREE = 2 

Const ItemReturned = 10 

Dim objConn 

Dim objRS 

Dim strDomain 

Dim objRootDSE 

Dim strQuery 

Dim objCommand 

Binding all'oggetto RootDSE 

Set objRootDSE = GetObject("LDAP://rootDSE") 

Recupero del nome di dominio 

strDomain = "LDAP://" & objRootDSE.GetfdefauItNamingContext") 

Creazionde dell'oggetto Connection e connessione con le creden- 
ziali attuali 
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Set objConn = CreateObject("ADODB.Connection") 
objConn. Provider = "ADSDSOObject" 
objConn. Open "" 



Controlla l'esito dell'autenticazione 



If objConn. State = adStateOpen Then 

WScriptEcho "Connection OK!" & vbCrlf 
Else 

WScriptEcho "Connection NOT OK!" 
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WScript.Quit(1) 
End If 

Creazione dell'oggetto Command 

Set objCommand = CreateObject("ADODB.Command") 
Set objCommand.ActiveConnection = objConn 
strQuery = "SELECT Name FROM "' & strDomain & "' WHERE 
ObjectCategory ='organizationalUnit' " 
objCommand. CommandText = strQuery 
objCommand. PropertiesC'Sort on") = "Name" 
objCommand. Properties("Size Limit") = ItemReturned 
objCommand.PropertiesC'SearchScope") = ADS_SCOPE_SUBTREE 

Elenca tutti i container e le Organizational Unit 

Set objRS = objCommand. Execute 
While Not objRS.EOF 

Wscript.Echo objRS.Fields.ltem("Name").Value 

objRS.MoveNextWend 

Chiusura della connessione e distruzione degli oggetti 

objConn.Close 
Set objConn = Nothing 
Set objRS = Nothing 
Set strDomain = Nothing 
Set objRootDSE = Nothing 
Set objCommand = Nothing 

Listato 21.- Creare una nuova OU 

Option Explicit 
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Dim objRootDSE 

Dim objDomainDN 

Dim objOUParentDN 

Dim objOU 

Dim strOUName 

Dim strOUParentDN 

Dim strOUDescription 

Binding all'oggetto RootDSE 

Set objRootDSE = GetObject("LDAP://rootDSE") 

Recupero del nome di dominio che poi sarà il container per la nuo- 
va OU 

strOUParentDN = "LDAP://" & objRootDSE.Get("defaultNamingContext") 

3 



Imposta il nome, il contenitore che conterrà la OU ed una breve de- 
scrizione 





strOUName = "OU_Test" 

strOUDescription = "Questa è una OU creata attraverso uno script" 
Binding al container della OU 
Set objOUParentDN = GetObject(strOUParentDN) 
SetobjOU = objOUParentDN.Create("organizationalUnit", 
"0U=" & strOUName) 
objOU.Put "description", strOUDescription 
objOU.Setlnfo 

Distruggi gli oggetti 

Set objRootDse = Nothing 
Set objDomainDN = Nothing 
Set objOUParentDN = Nothing 
Set objOU = Nothing 
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Listato 22.- Eliminare una OU 

Option Explicit 

Dim objRootDSE 

Dim strDomainDN 

Dim objOU 

Dim strOUName 

Binding all'oggetto RootDSE 

Set objRootDSE = GetObject("LDAP://rootDSE") 

Recupero del nome di dominio 

strDomainDN = objRootDSE. Get("defaultNamingContext") 

Richiedi la OU da eliminare 

strOUName = InputBoxf "Inserire/completare la stringa per il binding 

alla OU da eliminare." & vbCrlf & "Ad 

esempio: ou=0U1,dc=MyDomain,dc=it", "Inserisci il 

nome della OU", strDomainDN) 
Binding alla OU specificata ed eliminazione 
Set objOU = GetObject("LDAP://" & strOUName) 
objOU.DeleteObject(O) 

Distruggi oggetto 

Set objRootDSE = Nothing 
Set objOU = Nothing 

Listato 23.- Verificare l'appartenenza 
del computer ad una OU 

In questo script viene utilizzato un oggetto che utilizza l'interfaccia 
lADsADSystemlnfo per recuperare diverse informazioni sul computer 
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corrente. In questo listato sfruttiamo questo oggetto per verificare se 
il computer corrente appartiene o meno ad una OU. 
In testa allo script, però, è stato inserito anche un elenco delle pro- 
prietà che possiamo utilizzare attraverso l'oggetto ADSystemlnfo. 



Option Explicit 
Dim strPCDN 
Dim strOU 
Dim objSysInfo 



' Elenco attributi oggetto ADSystemlnfo 

' (http://www.microsoft.com/technet/scriptcenter/guide/sas_srv_gw- 

qy. mspx?mfr=True) 



'Attributo 



Descrizione 
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' UserName 

' ComputerName 
' SiteName 

' DomainShortName 
' DomainDNSName 
' ForestDNSName 
' PDCRoleOwner 
' SchemaRoleOwner 
' IsNatìveMode 



Distinguished name dell'utente che 
ha effettuato il logon. 
Distinguished name del computer. 
Nome del sito all'interno del quale si 
trova il PC. 

Nome corto del dominio. 
DNS name del dominio. 
DNS name della foresta. 
Distinguished name PDC emulator. 
Distinguished name Schema master. 
Valore booleano che indica se il do 
minio è o meno in Native Mode. 



strOU = InputBox 

("Inserisci il nome di una Organizational Unit presente nel tuo dominio:") 
If strOU = "" Then WScript.Quitfl) 
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Set objSysInfo = CreateObject("ADSystemlnfo") 
strPCDN = objSysInfo.ComputerName 

Verifica se all'interno del DN del PC corrente c'è il riferimento alla 
OU indicata 

If lnStr(UCase(strPCDN), "0U=" & strOU) > 0 Then 

Wscript.Echo "Il Computer corrente è all'interno della OU " & strOU 

Else 

Wscript.Echo "Il Computer corrente non è all'interno della OU " SstrOU 
End If 

Distruggi l'oggetto 
Set objSysInfo = Nothing 

Listato 24.- Spostare un oggetto 
da una OU ad un'altra 

Option Explicit 
Dim strDestinationDN 
Dim strSourceDN 
Dim strSourceRDN 
Dim objContainer 

Questo esempio sposta l'utente Utente I dalla Olii alla 0U2 all'in- 
terno del dominio MyDomain.it 



Binding al container OU I 



strDestinationDN 


= " LDAP://ou=OU2,dc=MyDomain,dc=it" 


Set objContainer 


= GetObject(strDestinationDN) 
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Impostazione della stringa DN e RDN della destinazione (0U2) 

strSourceDN = "LDAP://cn=Utente1,ou=0U1,dc=MyDomain,dc=it" 
strSourceRDN = "cn=Utente1 " 

Spostamento dell'oggetto 

objContainer.MoveHere strSourceDN, strSourceRDN 
Distruzione degli oggetti 

Set objContainer = Nothing 

Listato 25.- Elencare i siti 



S 



Option Explicit 
Dim objRootDSE 
Dim strConfigNameContext 
Dim strSitesContainer 
Dim objSite 
Dim objSitesContainer 
Binding all'oggetto RootDSE 

Set objRootDSE = GetObject("LDAP://RootDSE") 

strConfigNameContext = objRootDSE. Get("configurationNamingContext") 
Binding al Sites Container 

strSitesContainer = "LDAP://cn=Sites," & StrConfigNameContext 
Set objSitesContainer = GetObject(strSitesContainer) 
objSitesContainer.Filter = ArrayC'site") 

Wscript.Echo " " 

Wscript.Echo "Elenco siti rilevati" 
Wscript.Echo " " 



I libri di ioPROGRAMMO/Lavorare con ACTIVE DIRECTORY 



151 



LAVORARE CON 

ACTIVE 



Esempi pratici 



Capitolo 6 



L 'output dei nomi rilevati è nella forma 
'CN=<Sitei> 
' CN=<Site2> 
'CN=... 

' Per estrarre i nomi senza il prefisso CN= basta utilizzare Mid(obj- 
Site.Name,4) 

Per ogni oggetto trovato... 

For Each objSite In objSitesContainer 

WScriptEcho "Sito: " & Mid(objSite.Name,4) 
Next 

Distruggi gli oggetti 

Set objRootDSE = Nothing 

Set objSite = Nothing 

Set objSitesContainer = Nothing 

Listato 26.- Elencare le subnet 

Option Explicit 
Dim objRootDSE 
Dim strConfigNameContext 
Dim strSubnetsContainer 
Dim objSubnet 
Dim objSubnetsContainer 

Bindìng all'oggetto RootDSE 

Set objRootDSE = 
GetObject( " LDAP://RootDSE " ) 
strConfigNameContext = objRootDSE. Get("configurationNamingContext") 



152 



I libri di ioPROGRAMMO/Lavorare con ACTIVE DIRECTORY 



Capitolo 6 



Esempi pratici 



LAVORARE CON 

ACTIVE 



Binding al Subnets Container 



strSubnetsContainer = 

"LDAP://cn=Subnets,cn=Sites," & strConfigNameContext 
Set objSubnetsContainer = GetObject(strSubnetsContainer) 
objSubnetsContainer.Filter = ArrayC'subnet") 

Wscript.Echo " " 

Wscript.Echo "Elenco subnet rilevate" 
Wscript.Echo " " 

L output dei nomi rilevati è nella forma 

CN=<Subneti> 

CN=<Subnet2> 

CN=... 

Per estrarre i nomi senza il prefisso CN= basta utilizzare Mid(obj 
Subnet. Name, 4) 

Per ogni oggetto trovato... 

For Each objSubnet In objSubnetsContainer 

WScript.Echo "Subnet: " & Mid(objSubnet.Name,4) 
Next 



Distruggi gli oggetti 



Set objRootDSE = Nothing 

Set objSubnet = Nothing 

Set objSubnetsContainer = Nothing 



Listato 27.- Elencare gli attributi 
di una classe 



Option Explicit 
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Dim objClass 
Dim strPropName 
Dim strClass 
Dim Cont 

On Error Resumé Next 

Se l'utente passa da linea di comando il nome della classe 

If Wscript.Arguments.count = OThen 

strUser = lnputBox(" Inserisci il nome della classe:") 

If strUser = " " Then WScript.Quitfl) 
Else 

altrimenti richiedilo esplicitamente 

strUser = Wscript.Arguments(O) 
End If 

strClass = Wscript.Arguments(O) 

Wscript.Echo "ELENCO ATTRIBUTI CLASSE " & strClass & vbCrlf 

Binding all'oggetto classe dello Schema 

Set objClass = GetObject("LDAP://schema/" & strClass) 

Visualizza tuffigli attributi obbligatori della classe 

Cont = 0 

Wscript.Echo "- OBBLIGATORI - (" & 
Ubound(objClass.MandatoryProperties) + 1 & ")" SvbCrlf 
For Each strPropName In objClass.MandatoryProperties 
Cont = Cont + 1 

WScriptEcho Cont & ") " & strPropName 
Next 



Visualizza tutti gli attributi opzionali della classe 
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WScript.Echo 
Cont = 0 



WscriptEcho "- OPZIONALI - (" & Ubound(objClass.OptionalProperties) 
+ 1 & ■')"& vbCrlf 

For Each strPropName In objClass.OptionalProperties 
Cont = Cont + 1 

WScript.Echo Cont & ") " & strPropName 
Next 



Distruggi l'oggetto 
Set objClass = Nothing 

Listato 28.- Elencare gli attributi 
replicati 

Option Explicit 
Dim objRootDSE 
Dim strSchema 
Dim objCommand 
Dim objConnection 
Dim strQuery 

Dim objRS 
Dim strBase 
Dim strFilter 

Const ADS_SCOPE_BASE = 0 
Const ADS_SCOPEJ)NELEVEL = 1 
Const ADS_SCOPE_SUBTREE = 2 
Const PageSize = 1 00 
Const Timeout = 30 
Const CacheRes = False 
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Determina il nome dello Schema Container. 

Set objRootDSE = Get0bject("LDAP://RootD5E") 
strSchema = objRootDSE. GetfschemaNamingContext") 

Crea gli oggetti Connection e Command per il recupero delle info. 

Set objConnection = Create0bject("ADODB.Connection") 
objConnection. Provider = "ADsDSOObject" 
objConnection. Open "Active Directory Provider" 

Set objCommand = CreateObjectfADODB.Command") 
objCommand.ActiveConnection = objConnection 

Crea la stringa che permetterà l'avvio della ricerca con ADO. 
NB: Il TRUE posto alla fine della stringa strFilter è tutto maiuscolo, 
in caso contrario la query fallisce. 

strBase = "<LDAP://" & strSchema & ">" 

strFilter = 

" (S(objectCategory=attributeSchema) 
(isMemberOfPartialAttributeSet=TR 
UE))" 

La prossima stringa mostra invece gli attributi non replicati strFilter 
= "(&(objectClass=attributeSchema)(ìsMemberOfPartialAttribute- 
Set=FALSE)) " 

strQuery = strBase & ";" & strFilter & ";cn" 

objCommand. CommandText = strQuery 
objCommand. Properties("Sort on") = "cn" 
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objCommand.PropertiesfPage Size") = PageSize 
objCommand.PropertiesC'SearchScope") = ADS_SCOPE_SUBTREE 
objCommand.Properties("Timeout") = Timeout 
objCommand.Properties(" Cache Results") = CacheRes 



Set objRS = objCommand.Execute 

Mostra tutti gli attributi trovati 



Wscript.Echo 

Wscript.Echo "Nome dello Schema Container: " & strSchema 
WscriptEcho "ELENCO ATTRIBUTI TROVATI:" 
WScript.Echo 
While Not objRS.EOF 

Wscript.Echo objRS.Fields("cn") 
objRS.MoveNext 

Wend 

Chiudi la connessione e distruggigli oggetti 



objConnection.Close 
Set objRootDSE = Nothing 
Set objCommand = Nothing 
Set objConnection = Nothing 
Set objRS = Nothing 
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